christian295
Goto Top

FritzBox 7590 VPN

Hallo Zusammen,

wir haben seit einigen Tagen eine neue FritzBox 7590 und wollen mit ShrewSoft 2.2.2 auf Win 10 Pro eine VPN Verbindung aufbauen.

Die Anleitung von AVM sowie diverse aus dem Internet habe ich probiert, bekomme jedoch immer die Meldung "negotiation timout occurred".

Die FB ist aus dem Internet erreichbar (FestIP) und der Benutzer hat den Haken "VPN Zulassen".

Sämtliche Lösungen die ich im Netz gefunden habe, klappen leider nicht. Hat jemand ähnliche Probleme / Lösung?
Mit der Fehlermeldung kann ich leider auch nicht viel anfangen.. Gebe ich bewusst ein falschen PW ein, kommt
die gleiche Meldung..

Hatten vorher eine andere FB am Kabelanschluss, da ging es einwandfrei..

Danke,

Christian

Content-ID: 608364

Url: https://administrator.de/contentid/608364

Printed on: December 3, 2024 at 23:12 o'clock

support-m
support-m Sep 28, 2020 at 11:45:12 (UTC)
Goto Top
Hi,
willst du den VPN mit der FritzBox aufbauen oder mit dem Windows 10 ?
Muss es Shrew sein?

MfG
christian295
christian295 Sep 28, 2020 at 12:09:54 (UTC)
Goto Top
Hallo,
ich möchte die VPN Verbindung zur FritzBox aufbauen. Der Shrew Soft Client läuft unter Windows 10.
Es muss nicht zwingend Shrew sein - allerdings funktioniert es auch mit der Software FernZugang von AVM nicht..
brammer
brammer Sep 28, 2020 at 12:17:12 (UTC)
Goto Top
Hallo,

wie ist den die FB mit dem Internet verbunden? LTE?

brammer
support-m
support-m Sep 28, 2020 at 12:23:24 (UTC)
Goto Top
Hi,
dann würde ich dir empfehlen, einen OpenVPN-Server auf dem Windows 10 zu installieren und den Port 1194 von der FritzBox auf den Windows 10 Client weiter zu leiten. Dann übernimmt der Windows 10 Rechner den Verbindungsaufbau. Mit der FritzBox wirst du sonst keinen Spaß haben.
https://www.andysblog.de/openvpn-server-unter-windows-einrichten

Je nachdem, kannst du unter dem Windows 10 vielleicht auch mit Hyper-V eine Linux-VM aufbauen, die dann openvpn-server spielt (wenn du Linux beherrschst. Hier gibts auch eine gute Anleitung mit einem fertigen Script: https://www.cyberciti.biz/faq/ubuntu-20-04-lts-set-up-openvpn-server-in- ..)
Damit hast du eine gute und sichere Lösung.

MfG
aqui
aqui Sep 28, 2020 updated at 13:18:47 (UTC)
Goto Top
Das ist doch Unsinn ! Bitte mal lesen was oben der TO geschrieben hat !!
Der TO will doch einfach nur die VPN Funktion auf der FritzBox nutzen und mehr nicht.
Da muss er ja wahrlich nun nicht einen Windows 10 Rechner 24x7 "glühen" zu lassen um das zu erreichen. Ein kleiner Raspberry Pi reicht dafür auch völlig aus und ist lizenztechnisch kostenlos:
Merkzettel: VPN Installation mit OpenVPN

So oder so ist das aber Blödsinn und der Tip sinnfrei wenn der TO eine FritzBox die den VPN Server schon gleich an Bord hat, sein eigen nennt. Wozu also noch OpenVPN ?? Überflüssig...!
Vermutlich hat der TO die AVM Installationsanleitung nicht richtig gelesen:
https://avm.de/service/vpn/uebersicht/
Oder er hat mit seiner neuen FritzBox auch einen DS-Lite Anschluss bekommen. https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
Mit DS-Lite ist ein VPN Aufbau technisch nicht möglich. Zumindest nicht mit IPv4. Egal welches VPN.
christian295
christian295 Sep 28, 2020 at 14:01:14 (UTC)
Goto Top
V-DSL von der Telekom
aqui
aqui Sep 28, 2020 updated at 14:29:31 (UTC)
Goto Top
OK, DS-Lite scheidet dann sicher aus als Ursache. face-wink
Kann es sein das du einen anderen IPsec Client noch zusätzlich installiert hast oder hattest und den nicht vollständig entfernt hast ? 2 IPsec Clients geht nicht.
Oder...werkelt auf deinem Rechner noch irgendeine 3rd Party Security Software die dir ggf. den VPN Tunnel blockiert ? Generell ist der Shrew Client mit Winblows 10 und FritzBox VPN eine absolut wasserdichte Sache wenn man ihn genau nach AVM Vorgabe installiert:
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-mit- ...
goscho
goscho Sep 28, 2020 at 14:34:58 (UTC)
Goto Top
Mahlzeit Christian,

ich habe diverse VPNs zu Fritten mittels Shrew eingerichtet.

Mit an Sicherheit grenzender Wahrscheinlichkeit musst du in Shrew deine Konfiguration anpassen.

Folgende Einstellungen passen bei mir:
Authentication Method: Mutial PSK + XAUTH
Authentication -> Local Identity "Key Identifier" <Benutzer aus Fritzbox VPN-Einstellungen>  
Authentication -> Remote Identity "IP Address" <Haken bei "use a discovered remote host adreess" setzen>  
Credentials -> Preshared Key

Phase 1 
Exchange Type -> aggressive
DH Exchange -> group 2
Cipher Algorithm -> auto
Hash Algorithm -> auto
Key Life Time limit -> 86400 Secs

Phase 2
Transform Algorithm > auto
HMAC Algorithm -> auto
PFS Exchange -> group 2
Key Life Time limit -> 3600 Secs
aqui
aqui Sep 28, 2020 at 18:46:58 (UTC)
Goto Top
Eine Besonderheit bei AVMs FritzBox VPN das die die Lifetime in der Phase 1 von den eigentlich üblichen 8 Stunden auch auf 3600 Sek. gesetzt haben. Bei AVM war dann Phase 1 und 2 gleich.
Siehe auch: https://weberblog.net/fritzos-ab-06-20-anderungen-bei-vpns/
Ggf. sollte man das noch anpassen im Shrew.
christian295
christian295 Sep 29, 2020 at 07:25:41 (UTC)
Goto Top
Guten Morgen Goscho,

danke für die Konfiguration - der einzige Unterschied war bei "PFS Exchange -> group 2". Klappt trotzdem nicht.
Auch der Tip von Aqui leider kein Erfolg.

Ich habe auch die Vermutung, dass es an Windows / anderen Programmen liegt. Allerdings habe ich nichts
neues installiert - bliebe als Ursache ggfls. ein Windows Update...

Anbei mal Screenshots ein Screenshot vom Geräte Manager -> Netzwerkkomponenten. Vielleicht hilfreich?
Ansonsten ist beim Ethernet und WLAN Adapter der Haken bei "Shrew Soft Lightweight Filter" gesetzt.
Womit ich aber nichts anfangen kann ist der "vEthernet (Default Switch) - Hyper-V Virtual Ethernet Adapter"
kann da die Ursache liegen?

An der Windows Firewall liegt es denke ich auch nicht; denn die Verbindung "zur alten" FB ging einwandfrei.
Diese FB ist nun Fabrikneu; also denke ich auch eher nicht defekt.

Was sagt denn die Meldung von Shrew aus? Kann man da irgendwelche Details rauslesen?

VG
gm
goscho
goscho Sep 29, 2020 updated at 07:48:32 (UTC)
Goto Top
Moin Christian,

du hattest doch auch FritzFernzugang auf dem PC installiert?
Hast du das Programm deinstalliert?

Womit ich aber nichts anfangen kann ist der "vEthernet (Default Switch) - Hyper-V Virtual Ethernet Adapter"
kann da die Ursache liegen?
Nein, das ist ein Netzwerkadapter, den Windows anleght, weil Hyper-V aktiviert wurde.
Der stört nicht.

Mit Shrew installiert sich ein Tool zur Protokollierung und Fehlersuche.
VPN Trace Utility - als Administrator starten und anschließend die VPN-Verbindung starten. Dann siehst du genau, wo es hakt.
christian295
christian295 Sep 29, 2020 at 08:40:51 (UTC)
Goto Top
Hallo Goscho,

ja den FritzFernzugang habe ich entfernt - hatte ich auch früher mal; mag ich überhaupt nicht face-smile
Bin / war mit Shrew und FB sehr zufrieden und für mich reicht es so...

Bei dem Trace erscheint nur was bei Firewall Rules, siehe Bild.

Bei Source steht die Feste IP der FritzBox und bei Destination meine IP - macht das Sinn?!

LG
unbenannt
aqui
aqui Sep 29, 2020 updated at 14:18:36 (UTC)
Goto Top
Ich habe auch die Vermutung, dass es an Windows / anderen Programmen liegt.
Wird auch ganz sicher so sein, denn wenn es bei Millionen FritzBox Usern so klappt und nur bei dir nicht muss etwas mit dem Client oder dessen Konfig an sich sein !
Teste es statt Winblows doch mal mit deinem Smartphone !
support-m
support-m Sep 30, 2020 at 07:35:54 (UTC)
Goto Top
Jesus, chill.
Es gibt keinen Grund, meinen Vorschlag als Unsinn ab zu tun. Der TE redet von "wir" und hat eine feste IP. Das klingt nach einem Firmenumfeld und daher habe ich OpenVPN als Lösung empfohlen.

MfG
christian295
christian295 Sep 30, 2020 at 08:13:17 (UTC)
Goto Top
Guten Morgen,
also die Verbindung klappt leider auch mit dem iPad nicht - Server antwortet nicht. Wobei ich die FB über Ping erreichen kann.
Dann liegt es vllt. doch an der FB.. Hat jemand eine Ahnung was die Meldung bzw. Trace von Shrew aussagt?

Was die OpenVPN Sache angeht - ja ist ein Firmennetz; aber nicht sonderlich groß. Aber einen Windows Server haben wir
der ohnehin 24/7 läuft. Auf dem Host laufen 2 VM (1 x Domänencontroller, 1 x Terminalserver) - wo würde ich OpenVPN
installieren und gibt es eine Anleitung für Windows Server im Netz oder geht die oben genannte dafür auch?

Ich habe inzwischen auch mit Shrew auf einem frisch installiertem Desktop PC den gleichen Fehler... face-sad
christian295
christian295 Sep 30, 2020 at 08:25:05 (UTC)
Goto Top
Eine Anleitung für OpenVPN auf Windows Server 2016 habe ich gefunden - nun is nur die Frage einrichten auf einer der VM's oder direkt auf dem Host? Trotzdem würde mich schon interessieren warum ist mit der FB (nicht mehr) geht.
aqui
aqui Sep 30, 2020 updated at 09:07:07 (UTC)
Goto Top
und gibt es eine Anleitung für Windows Server im Netz
Gibt es sogar gleich hier. Einfach mal die Suchfunktion benutzen ! face-wink
Merkzettel: VPN Installation mit OpenVPN
Ihn direkt auf einer kleinen, sehr schlanken Linux VM (Ubuntu, Debian ohne GUI) einzurichten ist sicher die allerbeste Option !
Direkt auf einem Winblows Server mit sensitiven Daten ist sicher keine sehr gute und intelligente Idee. Potentiellen Angreifern liegt dieser dann gleich direkt zu Füßen. Normal gehört ein VPN Server IMMER in die Peripherie auf Router oder Firewall ! Siehe o.a. Tutorial und die weiterführenden Links.
christian295
christian295 Sep 30, 2020 at 09:19:22 (UTC)
Goto Top
Danke für den weiteren Link. Dachte ich mir schon, dass VPN besser nicht direkt auf dem Server läuft.
Daher ist / war mir die Lösung mit der FritzBox recht - aber wenn es nicht geht.. Kann auch nicht auf gut Glück alle PC's Neuinstallieren..

Habe noch einen älteren Windows Server 2012 Ess. hier stehen; ginge es theoretisch damit auch? Mit Linux habe ich aber
leider nur wenig Berührungspunkte gehabt bisher.. Wenn es da eine Anleitung gibt, dann probiere ich es mit dem alten Dell Server aus. Schlimmstenfalls geht es halt nicht face-big-smile Ansonsten vllt. eine andere "Mini PC" Variante? Die nicht zu teuer ist... oder vllt. einen
Switch / Router der sowas kann? Allerdings brauche ich die FB auch im Hinblick auf Telefon / DECT..
aqui
aqui Sep 30, 2020 updated at 09:32:56 (UTC)
Goto Top
Mit Linux habe ich aber leider nur wenig Berührungspunkte gehabt bisher...
Ein guter Anlass also dich mal etwas aus deiner Winblows Knechtschaft zu lösen. Der Server ist mit apt install openvpn in 5 Minuten aufgesetzt. Aber musst du selber entscheiden....
2012er reicht natürlich auch. Ginge auch auf Win 95 oder XP. Bei Windows schwingt immer die böse Sicherheitsfrage mit, vergiss das nie. Wenn du einen internen VPN Server betreibst musst du ja zwangsweise ungeschützten Internet Traffic am Router per Port Forwarding in dein lokales Netzwerk lassen auf den VPN Server was per se schon ein gewisses Risiko ist. Deshalb immer die Peripherie bei VPN. face-wink
Ob dann da die Verwendung eines alten Winblows OS eine gute und intelligente Entscheidung ist kannst nur du selber anhand deiner Security Policy entscheiden.
Zu beiden OS findest du im oben bereits genannten Tutorial ALLE Informationen zur Installation. Das Gute bei OpenVPN ist das das Setup immer gleich und damit vollkommen unabhängig vom Betriebssystem ist.
Die Prozedur ist kinderleicht bei OpenVPN
Ansonsten vllt. eine andere "Mini PC" Variante?
Ein Raspberry Pi 4 reicht vollends aus dafür:
https://www.reichelt.de/raspberry-pi-4-b-4x-1-5-ghz-2-gb-ram-wlan-bt-ras ...
christian295
christian295 Sep 30, 2020 at 10:36:30 (UTC)
Goto Top
Das mit dem Rasberry klingt verlockend - gerade auch sicher deutlich weniger Stromverbrauch wie ein kompletter Windows Server.

Danke für den Link - habe dieses Set gefunden:
https://www.reichelt.de/das-reichelt-raspberry-pi-4-b-8-gb-all-in-bundle ...

Taugt das so? Auf dem Rasberry OS kann man auch OpenVPN einrichten wenn ich richtig gelesen habe face-smile

Aktuell würden maximal 3 Personen gleichzeitig den VPN Zugang benötigen. Geht das damit dann?

Sorry das ist für mich noch mehr Neuland face-smile
aqui
aqui Sep 30, 2020 updated at 13:58:25 (UTC)
Goto Top
Ja, aber die 8Gig RAM Variante ist Perlen vor die Säue ! Die 2Gig Variante reicht völlig !
https://www.reichelt.de/das-raspberry-pi-4-b-2gb-black-bundle-rpi4-bbdl- ...
christian295
christian295 Sep 30, 2020 at 13:56:29 (UTC)
Goto Top
Super Danke! Dann besorge ich das Teil und versuche mein Glück face-smile
Liest sich jedenfalls alles einfacher wie mit Windows face-smile

Herzlichen Dank für die Hilfe.

Trotzdem ist das VPN FritzBox Problem nicht behoben.. wäre ja vllt. für andere Personen auch interessant gewesen.
aqui
Solution aqui Sep 30, 2020 updated at 14:07:13 (UTC)
Goto Top
Das VPN "Problem" tritt aber nur bei dir auf. Bei Millionen anderer FritzBox VPN User nicht.
Kann man also davon ausgehen das du einen Konfig Fehler irgendwo verbockt hast bei dir ! Entweder bei der FB selber oder dem Shrew Client ?! Ggf. nochmal genau der AVM Anleitung oben folgen... Da hilft nur suchen mit Logs, Debugging und Wireshark.
Log Output des FB Logs und des Shrew Logs wenn du einen VPN Requests sendest wären sehr hilfreich...
christian295
christian295 Oct 03, 2020 at 13:59:31 (UTC)
Goto Top
Hallo Zusammen,

die VPN Verbindung zur FritzBox geht nun - es war alles korrekt eingestellt, es lag an einem Fehler bei AVM..
Das neueste Update 7.21 hat nun Abhilfe geschafft, habe ich gestern Abend vom AVM Support die Info bekommen.

Trotzdem richte ich den Raspberry ein - dann habe ich beim nächsten Update / AVM Fehler keinen Ärger mehr.

Nochmals vielen Dank für die Unterstützung!
aqui
aqui Oct 04, 2020 at 09:49:14 (UTC)
Goto Top
Immer gerne... face-smile
christian295
christian295 Oct 04, 2020 at 15:43:35 (UTC)
Goto Top
Hallo aqui,

der kleine PI 4 läuft und ich habe den VPN Server mit PiVPN zum laufen
gebracht - das war sehr einfach und geht viel schneller wie mit der FritzBox face-smile

Allerdings hätten ich gerne das "normale" OpenVPN installiert. Aber sämtliche Tutorials die ich gefunden habe scheinen veraltet zu sein...

Als Beispiel dieses Tutorial: https://www.experte.de/vpn/raspberry-pi
Hier soll ja die Datei vars angepasst werden, diese gibt es aber wohl nicht (mehr). Also habe ich die vars.example umbenannt in vars. Diese
enthält aber z.B. die Zeile export EASY_RSA=“‘pwd‘“ nicht die geändert werden soll. Auch die darauffolgenden Befehle wie z.B. "source vars"
"./clean-all" etc. funktionieren nicht (mehr)...

Es kommt die Meldung:
You appear to be sourcing an Easy-RSA 'vars' file.
This is no longer necessary and is disallowed. See the section called "How to use this file" near the top comments for more details.

Lange Rede kurzer Sinn: Kennst du eine Anleitung die funktioniert / aktuell ist? Alles was ich finde scheint veraltet zu sein... Wenn nicht
belasse ich es bei der Lösung mit dem PiVPN face-smile

Nochmals Danke!
aqui
aqui Oct 04, 2020 updated at 16:32:23 (UTC)
Goto Top
Allerdings hätten ich gerne das "normale" OpenVPN installiert.
Und warum hast du das dann nicht gemacht ?? apt install openvpn und fertig ist der Lack. Wäre popelige 10 Minuten oder weniger gewesen...
Warum hast du dann nicht das hiesige gelesen ?? Das ist absolut up to date:
Merkzettel: VPN Installation mit OpenVPN
Einfacher gehts nicht...
Also habe ich die vars.example umbenannt in vars.
Was ja auch genau richtig ist. Hast du also intuitiv richtig gemacht. face-wink Guckst du auch hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Ansonsten immer in die Original Anleitung sehen:
https://openvpn.net/community-resources/rsa-key-management/
https://openvpn.net/community-resources/setting-up-your-own-certificate- ...
oder
https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
Die Export Variable brauchst du nicht unbedingt zu setzen. Die Zertifikate stehen wenn du sie im Default belasst dann nur schlicht und einfach in der Directory Struktur von easrsa unter /certs. Du musst sie dann schlicht und einfach nur nach /etc/openvpn/server kopieren und gut iss....
Das einzige was du in der umbenannten vars.example ändern musst ist die Gültigkeitsspanne und die Variablen für Ort, Name Email usw.
PiVPN ist ja aber auch OpenVPN als das gleiche in Grün.... Die Konfig Dateien und Zertifikate wirst du da auch wie beim "normalen" OpenVPN üblich im Standard Verzeichnis /etc/openvpn finden.