FritzBox 7270 und TheGreenBow VPN Client
hallo,
möchte über den thegreebow vpn client von unterwegs eine verbindung zur Fritz Box aufbauen.
Bin nun soweit gekommen, dass eine tunnel verbindung zur fritz box aufgebaut wurde. Ein anpingen der anderen Rechner über die IP ist nicht möglich. Bekomme nur eine Zeitüberschreitung.
Meine lokale IP Adresse 192.168.1.66
Die entfernten IP Adressen: Fritz Box 192.168.2.1, PC: 192.168.2.21
Habt Ihr noch einen Tipp? Anbei noch ein paar Screenshots und die config file der fritzbox
error log:
[VPNCONF] TGBIKESTART received
20090702 143807 Default (SA FritzBox-P1) SEND phase 1 Main Mode [SA] [VID] [VID] [VID] [VID] [VID]
20090702 144306 Default IKE daemon is removing SAs...
20090702 144311 Default Reinitializing IKE daemon
20090702 144311 Default IKE daemon reinitialized
20090702 144320 Default (SA Gateway1-P1) SEND phase 1 Aggressive Mode [SA] [KEY_EXCH] [NONCE] [ID] [VID] [VID] [VID] [VID] [VID]
20090702 144320 Default (SA FritzBox-P1) SEND phase 1 Main Mode [SA] [VID] [VID] [VID] [VID] [VID]
20090702 144320 Default (SA Gateway1-P1) RECV phase 1 Aggressive Mode [HASH] [SA] [KEY_EXCH] [NONCE] [ID] [VID] [VID]
20090702 144320 Default (SA Gateway1-P1) SEND phase 1 Aggressive Mode [HASH]
20090702 144320 Default phase 1 done: initiator id djviper@gmx.de, responder id 85.180.235.26
20090702 144320 Default (SA Gateway1-Tunnel1-P2) SEND phase 2 Quick Mode [HASH] [SA] [KEY_EXCH] [NONCE] [ID] [ID]
20090702 144320 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY]
20090702 144321 Default (SA Gateway1-Tunnel1-P2) RECV phase 2 Quick Mode [HASH] [SA] [KEY_EXCH] [NONCE] [ID] [ID]
20090702 144321 Default (SA Gateway1-Tunnel1-P2) SEND phase 2 Quick Mode [HASH]
20090702 144350 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144350 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144420 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144420 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144450 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144450 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144520 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144520 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144550 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144550 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144620 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144620 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144650 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144650 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144720 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144720 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
Fritz Box Config File:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "djviper@gmx.de";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.2.201;
remoteid {
user_fqdn = "djviper@gmx.de";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "1234567890";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.2.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipaddr = 192.168.2.201;
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist =
"permit ip 192.168.2.0 255.255.255.0 192.168.2.201 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Software Screenshots:
möchte über den thegreebow vpn client von unterwegs eine verbindung zur Fritz Box aufbauen.
Bin nun soweit gekommen, dass eine tunnel verbindung zur fritz box aufgebaut wurde. Ein anpingen der anderen Rechner über die IP ist nicht möglich. Bekomme nur eine Zeitüberschreitung.
Meine lokale IP Adresse 192.168.1.66
Die entfernten IP Adressen: Fritz Box 192.168.2.1, PC: 192.168.2.21
Habt Ihr noch einen Tipp? Anbei noch ein paar Screenshots und die config file der fritzbox
error log:
[VPNCONF] TGBIKESTART received
20090702 143807 Default (SA FritzBox-P1) SEND phase 1 Main Mode [SA] [VID] [VID] [VID] [VID] [VID]
20090702 144306 Default IKE daemon is removing SAs...
20090702 144311 Default Reinitializing IKE daemon
20090702 144311 Default IKE daemon reinitialized
20090702 144320 Default (SA Gateway1-P1) SEND phase 1 Aggressive Mode [SA] [KEY_EXCH] [NONCE] [ID] [VID] [VID] [VID] [VID] [VID]
20090702 144320 Default (SA FritzBox-P1) SEND phase 1 Main Mode [SA] [VID] [VID] [VID] [VID] [VID]
20090702 144320 Default (SA Gateway1-P1) RECV phase 1 Aggressive Mode [HASH] [SA] [KEY_EXCH] [NONCE] [ID] [VID] [VID]
20090702 144320 Default (SA Gateway1-P1) SEND phase 1 Aggressive Mode [HASH]
20090702 144320 Default phase 1 done: initiator id djviper@gmx.de, responder id 85.180.235.26
20090702 144320 Default (SA Gateway1-Tunnel1-P2) SEND phase 2 Quick Mode [HASH] [SA] [KEY_EXCH] [NONCE] [ID] [ID]
20090702 144320 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY]
20090702 144321 Default (SA Gateway1-Tunnel1-P2) RECV phase 2 Quick Mode [HASH] [SA] [KEY_EXCH] [NONCE] [ID] [ID]
20090702 144321 Default (SA Gateway1-Tunnel1-P2) SEND phase 2 Quick Mode [HASH]
20090702 144350 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144350 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144420 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144420 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144450 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144450 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144520 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144520 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144550 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144550 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144620 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144620 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144650 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144650 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144720 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144720 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
Fritz Box Config File:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "djviper@gmx.de";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.2.201;
remoteid {
user_fqdn = "djviper@gmx.de";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "1234567890";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.2.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipaddr = 192.168.2.201;
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist =
"permit ip 192.168.2.0 255.255.255.0 192.168.2.201 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Software Screenshots:
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 119637
Url: https://administrator.de/forum/fritzbox-7270-und-thegreenbow-vpn-client-119637.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
7 Kommentare
Neuester Kommentar
Wenn dein Client hinter einem NAT Router liegt musst du diesem vorher eine Port Weiterleitung auf den Client PC einrichten mit
UDP 500
UDP 4500
ESP Protokoll mit der IP Protokoll Nummer 50
Ferner muss der Router das VPN Passthrough Feature supporten !
Leider schreibst du nicht ob du das gemacht hast
Die lokale ID solltest du auf die IP Adresse setzen und NICHT auf Email oder sowas !!
Was sagt denn ein ipconfig -all bekommst du auf dem VPN Adapter sauber eine IP aus dem remoten Netz ???
Ansonsten sieh dir die Beispielkonfigs der VPN Cllinets auf der AVM Seite:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
unter "Tipps & Tricks für Verbindungen zu anderen Herstellern" an !!
Die Einstellungen sind bei den freien Clients immer dieselben !!! Egal ob Shrew, Greenbow oder GateProtect oder was auch immer...
Dort findest du auch entsprechende fritzbox.cfg Dateien als Beispiel....
UDP 500
UDP 4500
ESP Protokoll mit der IP Protokoll Nummer 50
Ferner muss der Router das VPN Passthrough Feature supporten !
Leider schreibst du nicht ob du das gemacht hast
Die lokale ID solltest du auf die IP Adresse setzen und NICHT auf Email oder sowas !!
Was sagt denn ein ipconfig -all bekommst du auf dem VPN Adapter sauber eine IP aus dem remoten Netz ???
Ansonsten sieh dir die Beispielkonfigs der VPN Cllinets auf der AVM Seite:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
unter "Tipps & Tricks für Verbindungen zu anderen Herstellern" an !!
Die Einstellungen sind bei den freien Clients immer dieselben !!! Egal ob Shrew, Greenbow oder GateProtect oder was auch immer...
Dort findest du auch entsprechende fritzbox.cfg Dateien als Beispiel....
Was soll immer das externe Einbinden von Grafiken ??? Administrator.de bietet die auch diese Möglichkeit und ist fürs Forum einfacher als immer das Klicken auf externe Links !!! (Originalthread auf Bearbeiten, Bild hochladen wie du es oben ja schon gemacht hast !!!, URL cutn pasten in die Antwort...so einfach ist das !!!)
Zurück zu deinem Problem:
Bei einer UMTS Karte ist zwindend DAS hier zu beachten:
VPN per UMTS Karte - Tunnel steht - aber Netz dahinter nicht anpingbar !?
Hast du also ein RFC 1918 Netz im UMTS geht eine VPN Verbindung per se schon mal gar nicht !!
Anhand deines Screenshots oben kannst du sehen das du gar keine IP Adresse auf dem VPN Interface hast...da klappt also gar nichts !!
Ganz an die Anleitung hast du dich nicht gehalten, denn AVM benutzt die lokale IP als Identifier und NICHT eine email Adresse. Das ist auch mehr als sinnvoll da viele VPN Clients nur die IP akzeptieren und nicht die möglichkeit einer separaten ID bieten. Bei solch einer Kombination kommt kein SA zustande wie auch bei dir !
Deshalb besser die IP verwenden, siehe .cfg Beispieldatei bei Shrew oder IPsecuritas auf der AVM Seite !
Zurück zu deinem Problem:
Bei einer UMTS Karte ist zwindend DAS hier zu beachten:
VPN per UMTS Karte - Tunnel steht - aber Netz dahinter nicht anpingbar !?
Hast du also ein RFC 1918 Netz im UMTS geht eine VPN Verbindung per se schon mal gar nicht !!
Anhand deines Screenshots oben kannst du sehen das du gar keine IP Adresse auf dem VPN Interface hast...da klappt also gar nichts !!
Ganz an die Anleitung hast du dich nicht gehalten, denn AVM benutzt die lokale IP als Identifier und NICHT eine email Adresse. Das ist auch mehr als sinnvoll da viele VPN Clients nur die IP akzeptieren und nicht die möglichkeit einer separaten ID bieten. Bei solch einer Kombination kommt kein SA zustande wie auch bei dir !
Deshalb besser die IP verwenden, siehe .cfg Beispieldatei bei Shrew oder IPsecuritas auf der AVM Seite !
Nur nochmal zur Klarstellung:
Die Fritzbox zu der du die VPN Connection aufbaust darf NICHT diese o.a. Port Forwardings eingetragen haben !!!!
Die Portforwardings müssen ausschliesslich nur auf der Clientseite eingestellt werden ! Niemals aber auf der VPN Serverseite also auf der Einwahlseite wo das lokale Netz 192.168.2.0 /24 vorhanden ist !!
Kann es sein das der Greenbow Client NAT Traversal macht ?? Wenn ja musst du unbedingt den Paramter:
use_nat_t = yes;
auf YES setzen !
Ansonsten hilft nur noch ein Troubleshooting der Logs sowohl auf Client als auch auf Serverseite !!
Oder.... das du mal einen Client wie den Shrew Client nimmst der ja auch offiziell von AVM beschrieben ist !!!
Die Fritzbox zu der du die VPN Connection aufbaust darf NICHT diese o.a. Port Forwardings eingetragen haben !!!!
Die Portforwardings müssen ausschliesslich nur auf der Clientseite eingestellt werden ! Niemals aber auf der VPN Serverseite also auf der Einwahlseite wo das lokale Netz 192.168.2.0 /24 vorhanden ist !!
Kann es sein das der Greenbow Client NAT Traversal macht ?? Wenn ja musst du unbedingt den Paramter:
use_nat_t = yes;
auf YES setzen !
Ansonsten hilft nur noch ein Troubleshooting der Logs sowohl auf Client als auch auf Serverseite !!
Oder.... das du mal einen Client wie den Shrew Client nimmst der ja auch offiziell von AVM beschrieben ist !!!
Da hast du dann aber ein generelles Problem !!
Wie war das mit dem UMTS Zugang ???
Du hast nicht gepostet ob du da einen RFC 1918 IP Adresse bekommst oder eine öffentliche ???
VPN per UMTS Karte - Tunnel steht - aber Netz dahinter nicht anpingbar !?
Oder testest du das erstmal ohne UMTS aus ??
Wie war das mit dem UMTS Zugang ???
Du hast nicht gepostet ob du da einen RFC 1918 IP Adresse bekommst oder eine öffentliche ???
VPN per UMTS Karte - Tunnel steht - aber Netz dahinter nicht anpingbar !?
Oder testest du das erstmal ohne UMTS aus ??