decoder
Goto Top

FritzBox 7270 und TheGreenBow VPN Client

hallo,

möchte über den thegreebow vpn client von unterwegs eine verbindung zur Fritz Box aufbauen.
Bin nun soweit gekommen, dass eine tunnel verbindung zur fritz box aufgebaut wurde. Ein anpingen der anderen Rechner über die IP ist nicht möglich. Bekomme nur eine Zeitüberschreitung.

Meine lokale IP Adresse 192.168.1.66
Die entfernten IP Adressen: Fritz Box 192.168.2.1, PC: 192.168.2.21

Habt Ihr noch einen Tipp? Anbei noch ein paar Screenshots und die config file der fritzbox

error log:
[VPNCONF] TGBIKESTART received
20090702 143807 Default (SA FritzBox-P1) SEND phase 1 Main Mode [SA] [VID] [VID] [VID] [VID] [VID]
20090702 144306 Default IKE daemon is removing SAs...
20090702 144311 Default Reinitializing IKE daemon
20090702 144311 Default IKE daemon reinitialized
20090702 144320 Default (SA Gateway1-P1) SEND phase 1 Aggressive Mode [SA] [KEY_EXCH] [NONCE] [ID] [VID] [VID] [VID] [VID] [VID]
20090702 144320 Default (SA FritzBox-P1) SEND phase 1 Main Mode [SA] [VID] [VID] [VID] [VID] [VID]
20090702 144320 Default (SA Gateway1-P1) RECV phase 1 Aggressive Mode [HASH] [SA] [KEY_EXCH] [NONCE] [ID] [VID] [VID]
20090702 144320 Default (SA Gateway1-P1) SEND phase 1 Aggressive Mode [HASH]
20090702 144320 Default phase 1 done: initiator id djviper@gmx.de, responder id 85.180.235.26
20090702 144320 Default (SA Gateway1-Tunnel1-P2) SEND phase 2 Quick Mode [HASH] [SA] [KEY_EXCH] [NONCE] [ID] [ID]
20090702 144320 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY]
20090702 144321 Default (SA Gateway1-Tunnel1-P2) RECV phase 2 Quick Mode [HASH] [SA] [KEY_EXCH] [NONCE] [ID] [ID]
20090702 144321 Default (SA Gateway1-Tunnel1-P2) SEND phase 2 Quick Mode [HASH]
20090702 144350 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144350 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144420 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144420 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144450 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144450 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144520 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144520 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144550 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144550 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144620 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144620 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144650 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144650 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144720 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144720 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK


Fritz Box Config File:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "djviper@gmx.de";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.2.201;
remoteid {
user_fqdn = "djviper@gmx.de";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "1234567890";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.2.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipaddr = 192.168.2.201;
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist =
"permit ip 192.168.2.0 255.255.255.0 192.168.2.201 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF


Software Screenshots:
833625c10ea44cf1e32b41e7080ecaab-1
b889278ae3918a05f0eeb856a58050fb-2
2c6077d89ab14cd74fbb71299a535be4-3

Content-ID: 119637

Url: https://administrator.de/forum/fritzbox-7270-und-thegreenbow-vpn-client-119637.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

aqui
aqui 02.07.2009 um 18:38:47 Uhr
Goto Top
Wenn dein Client hinter einem NAT Router liegt musst du diesem vorher eine Port Weiterleitung auf den Client PC einrichten mit
UDP 500
UDP 4500
ESP Protokoll mit der IP Protokoll Nummer 50
Ferner muss der Router das VPN Passthrough Feature supporten !

Leider schreibst du nicht ob du das gemacht hast face-sad
Die lokale ID solltest du auf die IP Adresse setzen und NICHT auf Email oder sowas !!
Was sagt denn ein ipconfig -all bekommst du auf dem VPN Adapter sauber eine IP aus dem remoten Netz ???

Ansonsten sieh dir die Beispielkonfigs der VPN Cllinets auf der AVM Seite:

http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...

unter "Tipps & Tricks für Verbindungen zu anderen Herstellern" an !!
Die Einstellungen sind bei den freien Clients immer dieselben !!! Egal ob Shrew, Greenbow oder GateProtect oder was auch immer...
Dort findest du auch entsprechende fritzbox.cfg Dateien als Beispiel....
decoder
decoder 03.07.2009 um 00:43:40 Uhr
Goto Top
danke für deine antwort. hab mich mit der cfg datei genau nach der avm anleitung gehalten. mit den ip adressen und email adressen müsste soweit alles richtig sein.

zum testen wegen der client firewall hab ich mich mit der umts sim karte ins net eingewählt. aber auch hier kein pingen möglich face-sad

http://img200.imageshack.us/img200/5518/43652335.jpg
aqui
aqui 03.07.2009, aktualisiert am 18.10.2012 um 18:38:37 Uhr
Goto Top
Was soll immer das externe Einbinden von Grafiken ??? Administrator.de bietet die auch diese Möglichkeit und ist fürs Forum einfacher als immer das Klicken auf externe Links !!! (Originalthread auf Bearbeiten, Bild hochladen wie du es oben ja schon gemacht hast !!!, URL cutn pasten in die Antwort...so einfach ist das !!!)

Zurück zu deinem Problem:
Bei einer UMTS Karte ist zwindend DAS hier zu beachten:

VPN per UMTS Karte - Tunnel steht - aber Netz dahinter nicht anpingbar !?

Hast du also ein RFC 1918 Netz im UMTS geht eine VPN Verbindung per se schon mal gar nicht !!

Anhand deines Screenshots oben kannst du sehen das du gar keine IP Adresse auf dem VPN Interface hast...da klappt also gar nichts !!
Ganz an die Anleitung hast du dich nicht gehalten, denn AVM benutzt die lokale IP als Identifier und NICHT eine email Adresse. Das ist auch mehr als sinnvoll da viele VPN Clients nur die IP akzeptieren und nicht die möglichkeit einer separaten ID bieten. Bei solch einer Kombination kommt kein SA zustande wie auch bei dir !
Deshalb besser die IP verwenden, siehe .cfg Beispieldatei bei Shrew oder IPsecuritas auf der AVM Seite !
decoder
decoder 04.07.2009 um 11:12:48 Uhr
Goto Top
sorry wegen den pics. werd das nun nur noch hier uppen.

bin nun so vorgegangen.
freigaben wie du es in deinem ersten post geschrieben hast wurden eingerichtet:
d0fa00335fc50097bbc055b8afdf2ec4-1

danach hab ich die beispiel cfg von der fritz ipsecuritas anleitung kopiert. die Felder mit Email, IPs und Key geändert und nochmal in die fritz box eingespielt.
Beispiel Config: http://www.avm.de/de/Service/FAQs/FAQ_Sammlung/images/FRITZBox_IPSecuri ...

Und hier meine angepasste config:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "djviper@gmx.de";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.2.201;
remoteid {
user_fqdn = "djviper@gmx.de";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "1234567890";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.2.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipaddr = 192.168.2.201;
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist =
"permit ip 192.168.2.0 255.255.255.0 192.168.2.201 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF


ping und zugriff auf die 192.168.2.1 funktioniert nach der hergestellten vpn verbindung leider noch nicht face-sad
hoffe du hast noch einen tipp was ich falsch gemacht habe?!
aqui
aqui 05.07.2009 um 12:03:58 Uhr
Goto Top
Nur nochmal zur Klarstellung:

Die Fritzbox zu der du die VPN Connection aufbaust darf NICHT diese o.a. Port Forwardings eingetragen haben !!!!

Die Portforwardings müssen ausschliesslich nur auf der Clientseite eingestellt werden ! Niemals aber auf der VPN Serverseite also auf der Einwahlseite wo das lokale Netz 192.168.2.0 /24 vorhanden ist !!

Kann es sein das der Greenbow Client NAT Traversal macht ?? Wenn ja musst du unbedingt den Paramter:
use_nat_t = yes;

auf YES setzen !

Ansonsten hilft nur noch ein Troubleshooting der Logs sowohl auf Client als auch auf Serverseite !!
Oder.... das du mal einen Client wie den Shrew Client nimmst der ja auch offiziell von AVM beschrieben ist !!!
decoder
decoder 05.07.2009 um 23:25:56 Uhr
Goto Top
hallo aqui,

jep die portfreigaben wurden auf der client fritz box eingerichtet. nicht auf der entfernten fritz box.

mit use_nat_t auf yes hab ich getestet. bekomm damit aber nicht den tunnel geöffnet und gar keine verbindung aufgebaut face-sad

der kostenlose shrew client wär mir eigentlich auch am liebsten. nur da hängt er noch viel früher als mit dem thegreenbow vpn client. hab von shrew die beta und alpha version installiert. bei beiden erhalte ich diese Fehlermeldung (bin genau nach avm anleitung mehrmals vorgegangen):


configuring client settings ...
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
ipcomp proposal configured
client configured
local id configured
pre-shared key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon ...

kannst du mit dieser meldung was anfangen? negotiation timout occurred

gruß
decoder
aqui
aqui 06.07.2009, aktualisiert am 18.10.2012 um 18:38:38 Uhr
Goto Top
Da hast du dann aber ein generelles Problem !!
Wie war das mit dem UMTS Zugang ???

Du hast nicht gepostet ob du da einen RFC 1918 IP Adresse bekommst oder eine öffentliche ???
VPN per UMTS Karte - Tunnel steht - aber Netz dahinter nicht anpingbar !?

Oder testest du das erstmal ohne UMTS aus ??