screenwolf
Goto Top

Fritzbox (DSL,VoIP,WLAN) vor Lancom (NAS,WLAN,DRUCKER)

Hallo,

ich habe auch mal wieder ein Problem welches ich nicht so schnell lösen kann.

1. wenn es geht will ich über VPN auf den Lancom Router (am liebsten IKEv2) ...auf das interne Netz zugreifen.
(Anleitung für IKEv1 allerdings getrennte Standorte :Lancom _Fritzbox
2. Die Firewall des Lancomrouter sollte Daten durchlassen/sperren nach bestimmten Regeln.
3. Eine Route ist auf der Fritzbox von 172.16.0.0 255.255.0.0 auf 192.168.178.253 eingerichtet.


1x Lösung: Wenn ich aus dem Segment 172.16.255.0/24 über den Lancom Router ins Internet gehen will muss ich ETH1 auf DSL umstellen.
2x Lösung: Möchte ich die Geräte von der Fritzbox 192.168.178.0/24 (z.B. WLAN) auf die Geräte im LANCOM zugreifen muss ich den ETH1 auf LAN1 umstellen (DMZ)
Entweder oder ist keine Lösung


Meine Frage: Ich möchte über das Internet per VPN auf die Geräte im Seg. 172.16.255.0 /24 zugreifen können. (Lancom hat im Internet immer die öffent. IP-Adresse der Fritzbox).
Wenn ich mich mit Mobilen Geräten im seg 192.168.178.0/24 befinde, darf ich über Firewall-Regeln nur bestimmte Geräte aus dem Segment Lancom 172.16.255.0/24 erreichen dürfen (Drucker z.B) alles andere wird gesperrt. Die Geräte die im Lancom Seg. benötigen zum Teil Internetzugriff (Updates), deswegen will ich die Geräte über die Firewall freigeben, die Internet benötigen.

Bei Fragen, fragen.

ich hoffe jemand kann mir helfen...ich verzweifel noch nicht .... wäre aber dankbar wenn ich etwas Hilfe bekommen könnte.

Bilder habe ich angehangen face-smile

Viele Grüße
Screeni
homeskizze_öffentlich
ipv4-routing-tabelle

Content-ID: 588790

Url: https://administrator.de/forum/fritzbox-dsl-voip-wlan-vor-lancom-nas-wlan-drucker-588790.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

Screenwolf
Screenwolf 19.07.2020 um 02:32:08 Uhr
Goto Top
Kurzer Nachtrag:

UDP Port 500 und 4500 sind auf der Fritzbox zu .253 freigegeben.
tikayevent
tikayevent 19.07.2020 um 07:11:29 Uhr
Goto Top
Es tut mir Leid, aber ich versteh absolut nicht, was du willst. Du hast so komisch geschrieben, dass ich keinen Sinn erkenne. Auch deine Frage ist irgendwie keine Frage für mich. Ich sehe keine explizite Fragestellung.
Screenwolf
Screenwolf 19.07.2020 um 10:14:43 Uhr
Goto Top
Wie muss ich das einrichten, damit es wie gewünscht funktioniert?
tikayevent
Lösung tikayevent 19.07.2020 um 11:00:10 Uhr
Goto Top
VPN auf der Fritzbox aus, Portweiterleitungen einrichten, NAT-T auf dem LANCOM aktivieren, Firewall nach deinen Wünschen konfigurieren.

Sorry, dass ich so allgemein schreibe, aber hier gibt es keine Komplettlösungen und aus deinen Informationen kann man nicht viel brauchbares entnehmen. Das einzige, was ich den Bildern entnehmen kann, ist wohl ne dicke fette Fehlkonfiguration des LANCOM und totales Chaos bei dir im Netzwerk.
Screenwolf
Screenwolf 19.07.2020 aktualisiert um 13:43:15 Uhr
Goto Top
Hallo tikayevent,

keine Entschuldigung ich bin ja froh wenn du mir Tipps gibst.
Warum ich was, wie gemacht habe face-wink ist für Dich wohl das Chaos, hat aber Sinn.

Mir ist es auch klar das ich irgendwie etwas übersehe auf dem Lancom aber ich finde nicht den Fehler.

ich habe die Einrichtung wie nach Anweisung gemacht:
Einrichtung Lancom_Handy
Portweiterleitung: UDP Port 500 und 4500 sind auf der Fritzbox zur IP 192.168.178.253 eingerichtet.
aqui
aqui 19.07.2020 aktualisiert um 13:49:24 Uhr
Goto Top
3. Eine Route ist auf der Fritzbox von 172.16.0.0 255.255.0.0 auf 192.168.178.253 eingerichtet.
Das wäre Quatsch und auch kontraproduktiv wenn der kaskadierte Lancom auch NAT macht und die hinter ihm liegenden lokalen LANs per NAT auf seine WAN IP translated.
Sprich also FB und Lancom in einer Router Kaskade mit doppeltem NAT arbeiten.
Was dabei grundsätzlich zu beachten ist erklärt dieses Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
(Lancom hat im Internet immer die öffent. IP-Adresse der Fritzbox).
Logisch bei einer Router Kaskade mit doppeltem NAT. (Siehe o.a. Tutorial !)
Ich möchte über das Internet per VPN auf die Geräte im Seg. 172.16.255.0 /24 zugreifen können.
Welcher der beiden Router soll denn aktiv das VPN terminieren ? BEIDE sind ja aktive VPN Router !!
Sinnvoll wäre natürlich immer den VPN Server auf dem Lancom laufen zu lassen.
Auf der FritzBox müssen dann die entsprechenden VPN Poerts weitergeleitet werden. Bei IPsec ist das *
  • UDP 500
  • UDP 4500
  • ESP Protokoll, IP Nummer 50
Aber ACHTUNG:
Die FritzBox ist selber aktiver VPN Router ! Hier muss die VPN Funktion zwingend deaktiviert sein ! Da ein externen Client als Zieladresse im VPN Client ja die öffentliche IP des FB WAN Ports konfiguriert bekommt "denkt" die FB dann immer diese VPN Pakete sind für sie selber wenn die eigene VPN Funktion nicht strikt deaktiviert ist. Sie würde dann trotz Port Forwarding diese Pakete nicht an den Lancom forwarden !

Als Check das sie das macht und sauber forwardet kannst du temporär einen Wireshark Sniffer mit der IP des kaskadierten Lancoms in das Koppelnetz hängen und checken ob bei einem VPN Aufbau mit einem externen VPN Client dann dort IPsec Pakete (Isakmp) einegehen !
Ist das der Fall wird das fehlerlos klappen.
Portweiterleitung: UDP Port 500 und 4500 sind auf der Fritzbox zur IP 192.168.178.253 eingerichtet.
Das reicht bei IPsec nicht und ein Verbindungsaufbau wird scheitern ! Es fehlt das ESP Protokoll !! (Siehe Tutorial oben !)
Screenwolf
Screenwolf 19.07.2020 um 16:49:51 Uhr
Goto Top
Folgende Ports habe ich auf der Fritzbox als Portforwarding eingetragen.

  • UDP 500
  • UDP 4500
  • ESP Protokoll
Genauso habe ich es eingestellt. Bei der FB kann man lediglich ESP angeben weitere Angaben bei ESP nicht möglich.


IPv4 Route gelöscht:
Die Route auf der Fritzbox von 172.16.0.0 255.255.0.0 auf 192.168.178.253 deaktiviert. bzw gelöscht.


Als Check das sie das macht und sauber forwardet kannst du temporär einen Wireshark Sniffer mit der IP des kaskadierten Lancoms in das Koppelnetz hängen
Das wäre im Netzbereich 192.168.178.0/24
und checken ob bei einem VPN Aufbau mit einem externen VPN Client dann dort IPsec Pakete (Isakmp) eingehen !
Ich habe den WS in das o.g. Netz gehangen, keine Pakete UDP Pakete werden weitergeleitet weder udp.port == 500 noch udp.port == 4500
Ist das der Fall wird das fehlerlos klappen.
face-sad somit klappt es bislang noch nicht.

Aber schon mal vielen Dank für die Hilfe aqui
tikayevent
tikayevent 19.07.2020 um 17:04:35 Uhr
Goto Top
Das Problem ist, dass du mir Wireshark nichts sehen wirst, wenn du den einfach an den Switch hängst. Das geht nur mit einem Hub oder einem Portmirror.

Um es zu kontrollieren, kannst du den LANtracer nehmen oder auf der Konsole ein tr # vpn-status ausführen.

Aber wie ich bereits geschrieben habe, hast du scheinbar auch eine dicke fette Fehlkonfiguration im LANCOM drin. Du hast ja nur die Routingtabelle geschickt und hier sind schon die ersten beiden Routen falsch. Mit der Default-Route wirst du ohne PBR auch nicht online kommen.
Wenn ich mir die zweite Route anschaue, hast du vermutlich auch keine Gegenstelle für das Internet angelegt bzw. eine angelegte Gegenstelle kann nicht funktionieren, weil die ja laut Routingtabelle mit dem IP-Netz DMZ in Konflikt stehen würde.
Screenwolf
Screenwolf 19.07.2020 aktualisiert um 18:18:46 Uhr
Goto Top
Hi tikayevent,

ich habe den Traffic über die FB mitgeschnitten. Paketmitschnitt.

Die Route habe ich geändert und ich komme aus dem 172.16.255.0/24 nun auch ins Internet.


Ich müsste jetzt nur noch auf dem Lancom VPN einrichten, was zur Zeit noch nicht funktioniert.


Viele Grüße
Screeni
2020-07-19 18_16_05-iad-if-eth0_19.07.20_1753.eth
2020-07-19 18_09_23-ipv4-routing-tabelle_2
aqui
aqui 19.07.2020 aktualisiert um 18:26:43 Uhr
Goto Top
keine Pakete UDP Pakete werden weitergeleitet weder udp.port == 500 noch udp.port == 4500
Ein sicheres Zeichen das auf der FB selber der VPN Dienst noch aktiv ist. Dann forwardet die FB auch trotz konfiguriertem Port Forwarding keine VPN Frames !
Du musst dort alles VPN Bezogene deaktivieren !
Das Problem ist, dass du mir Wireshark nichts sehen wirst,
Das ist so nicht richtig !!
Wenn der Wireshark Rechner die gleiche IP Adresse konfiguriert hat wie der WAN Port des Lancom, sprich also die Port Forwarding Ziel IP in der FritzBox sieht man den Traffic sehr wohl !
Logisch, denn der Wireshark Rechner wird ja dann direkt angesprochen. Zwingend ist aber die gleiche IP Adressierung wie die Port Forwarding Ziel IP in der FB bzw. die WAN Port IP des Lancom also .178.253 !
ich habe den Traffic über die FB mitgeschnitten.
Den lokalen FritzBox Capture URL hier mitzuposten ist doch Quatsch ! Kein Mensch hier im Forum kann den sehen oder dachtest du wir können auf dein lokales LAN zugreifen ! face-sad
Fakt ist wenn keine IKEv1 Pakete dort zu sehen sind forwardet die FritzBox auch keinerlei IPsec und dann ist es ja vollkommen klar das der VPN Aufbau scheitern muss !
Ich müsste jetzt nur noch auf dem Lancom VPN einrichten,
Was ja eher ne Kleinigkeit ist denn dafür jibbet bei Lancom entsprechend HowTos
https://www.lancom-systems.de/download/LC-VPN-Client-Advanced/IG_VPN-Cli ...
Als Client kann man ebenfalls den kostenlosen Shrew VPN Client benutzen:
https://www.shrew.net/download/vpn
Sofern dein Lancom auch IKEv2 versteht, dann kannst du auch den bordeigenen Client benutzen ohne jegliche externe VPN Software:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
tikayevent
tikayevent 19.07.2020 um 19:07:11 Uhr
Goto Top
Zitat von @aqui:

Das Problem ist, dass du mir Wireshark nichts sehen wirst,
Das ist so nicht richtig !!
Wenn der Wireshark Rechner die gleiche IP Adresse konfiguriert hat wie der WAN Port des Lancom, sprich also die Port Forwarding Ziel IP in der FritzBox sieht man den Traffic sehr wohl !
Das kann dennoch nicht klappen, weil dann müsste die Fritzbox ja für eine IP-Adresse zwei MAC-Adressen lernen, was aber nicht passieren wird. Das nennt sich dann IP-Adressen-Konflikt.

Du hast weiterhin noch einen Fehler drin. Du hast die Sperrrouten wieder angelegt. Da der LANCOM nicht direkt im Internet steht, kannst du die ganzen Routen mit dem Router 0.0.0.0 löschen.

VPN scheint grundlegend zu funktionieren, es gibt ja eine Initiator- und eine Respondernachricht, also die Weiterleitung funktioniert. Also liegt es vermutlich an einem Konfigurationsfehler auf dem Endgerät oder dem LANCOM. Du müsstest aber mal nähere Informationen zur Konfiguration liefern und ein VPN-Status-Trace wäre auch nicht verkehrt (tr # vpn-status auf der Router-CLI).
Screenwolf
Screenwolf 19.07.2020 um 22:47:09 Uhr
Goto Top
Alle Eingaben von tr # vpn-status, tr # vpn-debug, tr # vpn-ike stehen auf "ON"

Die Einstellung am Lancom-Router unter IKEv2/IPSec wie folgt (siehe Bilder)
2020-07-19 22_43_55-authentifizierung - eintrag bearbeiten
2020-07-19 22_43_32-verbindungs-parameter - eintrag bearbeiten
2020-07-19 22_45_43-digital-signature-profile
2020-07-19 22_43_08-verbindungs-liste - eintrag bearbeiten
2020-07-19 23_02_21-lanconfig
2020-07-19 23_02_21-lanconfig
2020-07-19 22_42_25-1631e, ... konfiguration
tikayevent
tikayevent 19.07.2020 um 22:59:57 Uhr
Goto Top
Du hast FQUN eingegeben, aber keine E-Mail-Adresse. Und die Identität beider Seiten ist identisch. Ich weiß jetzt nicht, welches Gerät du anbinden willst, aber ich hab gerade mal selbst in meinem Router nachgeschaut, für mein Mapple-Geräte hab ich hier unterschiedliche Werte drin.

Alle Eingaben von tr # vpn-status, tr # vpn-debug, tr # vpn-ike stehen auf "ON"
Einschalten bringt nichts, muss man auch schon betrachten oder kopieren. Sobald du dich von der Konsole abmeldest, sind die Sachen weg. Es sind keine Einstellungen, sondern Hilfsprogramme.
vpn-debug ist aber auch zu viel. Damit müllst du dich nur voll. Aktiviere einfach mal vpn-status sowie vpn-ike und starte dann einen Verbindungsaufbau für das VPN.
Screenwolf
Screenwolf 19.07.2020 um 23:18:34 Uhr
Goto Top
Hi,

ich weiss nicht woher die 192.168.178.51 kommt.
Muss das auch erst einmal prüfen.


2020-07-19 23_13_17-_unbenannt - editor
Screenwolf
Screenwolf 19.07.2020 um 23:34:53 Uhr
Goto Top
.51 ist für das Internet zuständig.
. 253 der Router zu DMZ
Screenwolf
Screenwolf 19.07.2020 um 23:49:27 Uhr
Goto Top
[VPN-IKE] 2020/07/19 23:39:19,775
[DEFAULT] Sending packet:
IKE 2.0 Header:
Source/Port : 192.168.178.51:500
Destination/Port : IP_Handy:23021
Routing-tag : 0
Com-channel : 0
| Initiator cookie : D2 79 61 FD 18 0E D0 8F
| Responder cookie : 00 00 00 00 00 00 00 00
| Next Payload : NOTIFY
| Version : 2.0
| Exchange type : IKE_SA_INIT
| Flags : 0x20 Response
| Msg-ID : 0
| Length : 36 Bytes
NOTIFY Payload
| Next Payload : NONE
| CRITICAL : NO
| Reserved : 0x00
| Length : 8 Bytes
| Protocol ID : <Unknown 0>
| SPI size : 0
| Message type : NO_PROPOSAL_CHOSEN

[VPN-IKE] 2020/07/19 23:39:22,990
[DEFAULT] Received packet:
IKE 2.0 Header:
Source/Port : IP_Handy:23021
Destination/Port : 192.168.178.51:500
Routing-tag : 0
Com-channel : 0
| Initiator cookie : D2 79 61 FD 18 0E D0 8F
| Responder cookie : 00 00 00 00 00 00 00 00
| Next Payload : SA
| Version : 2.0
| Exchange type : IKE_SA_INIT
| Flags : 0x08 Initiator
| Msg-ID : 0
| Length : 650 Bytes
SA Payload
| Next Payload : KE
| CRITICAL : NO
| Reserved : 0x00
| Length : 244 Bytes
| PROPOSAL Payload
| | Next Payload : PROPOSAL
| | Reserved : 0x00
| | Length : 136 Bytes
| | Proposal number : 1
| | Protocol ID : IPSEC_IKE
| | SPI size : 0
| | #Transforms : 15
| | TRANSFORM Payload
| | | Next Payload : TRANSFORM
| | | Reserved : 0x00
| | | Length : 12 Bytes
| | | Transform Type: ENCR (1)
| | | Reserved2 : 0x00
| | | Transform ID : AES-CBC (12)
| | | Attribute 0
| | | | Type : Basic, KEYLENGTH
| | | | Value : 256
| | TRANSFORM Payload
| | | Next Payload : TRANSFORM
| | | Reserved : 0x00
| | | Length : 12 Bytes
| | | Transform Type: ENCR (1)
| | | Reserved2 : 0x00
| | | Transform ID : AES-CBC (12)
| | | Attribute 0
| | | | Type : Basic, KEYLENGTH
| | | | Value : 128
| | TRANSFORM Payload
| | | Next Payload : TRANSFORM
| | | Reserved : 0x00
| | | Length : 8 Bytes
| | | Transform Type: INTEG (3)
| | | Reserved2 : 0x00
| | | Transform ID : HMAC-SHA-512 (14)
| | | Attributes : NONE
| | TRANSFORM Payload
| | | Next Payload : TRANSFORM
| | | Reserved : 0x00
| | | Length : 8 Bytes
| | | Transform Type: INTEG (3)
| | | Reserved2 : 0x00
| | | Transform ID : HMAC-SHA-384 (13)
| | | Attributes : NONE
| | TRANSFORM Payload
| | | Next Payload : TRANSFORM
| | | Reserved : 0x00
| | | Length : 8 Bytes
| | | Transform Type: INTEG (3)
| | | Reserved2 : 0x00
| | | Transform ID : HMAC-SHA-256 (12)
| | | Attributes : NONE
| | TRANSFORM Payload
| | | Next Payload : TRANSFORM
| | | Reserved : 0x00
| | | Length : 8 Bytes
| | | Transform Type: INTEG (3)
| | | Reserved2 : 0x00
| | | Transform ID : HMAC-SHA1 (2)
| | | Attributes : NONE
| | TRANSFORM Payload
| | | Next Payload : TRANSFORM
| | | Reserved : 0x00
| | | Length : 8 Bytes
| | | Transform Type: PRF (2)
| | | Reserved2 : 0x00
| | | Transform ID : PRF-HMAC-SHA-512 (7)
| | | Attributes : NONE
| | TRANSFORM Payload
| | | Next Payload : TRANSFORM
| | | Reserved : 0x00
| | | Length : 8 Bytes
| | | Transform Type: PRF (2)
| | | Reserved2 : 0x00
| | | Transform ID : PRF-HMAC-SHA-384 (6)
| | | Attributes : NONE
| | TRANSFORM Payload
| | | Next Payload : TRANSFORM
| | | Reserved : 0x00
| | | Length : 8 Bytes
| | | Transform Type: PRF (2)
| | | Reserved2 : 0x00
| | | Transform ID : PRF-HMAC-SHA-256 (5)
| | | Attributes : NONE
| | TRANSFORM Payload
| | | Next Payload : TRANSFORM
| | | Reserved : 0x00
| | | Length : 8 Bytes
| | | Transform Type: PRF (2)
| | | Reserved2 : 0x00
| | | Transform ID : PRF-HMAC-SHA1 (2)
| | | Attributes : NONE
| | TRANSFORM Payload
| | | Next Payload : TRANSFORM
| | | Reserved : 0x00
| | | Length : 8 Bytes
| | | Transform Type: DH (4)
| | | Reserved2 : 0x00
| | | Transform ID : 2048-BIT MODP GROUP WITH 256-BIT PRIME ORDER SUBGROUP (24)
| | | Attributes : NONE
| | TRANSFORM Payload
| | | Next Payload : TRANSFORM
| | | Reserved : 0x00
| | | Length : 8 Bytes
| | | Transform Type: DH (4)
| | | Reserved2 : 0x00
| | | Transform ID : 384-BIT RANDOM ECP (20)
| | | Attributes : NONE
| | TRANSFORM Payload
| | | Next Payload : TRANSFORM
| | | Reserved : 0x00
| | | Length : 8 Bytes
| | | Transform Type: DH (4)
| | | Reserved2 : 0x00
| | | Transform ID : 256-BIT RANDOM ECP (19)
| | | Attributes : NONE
| | TRANSFORM Payload
| | | Next Payload : TRANSFORM
| | | Reserved : 0x00
| | | Length : 8 Bytes
| | | Transform Type: DH (4)
| | | Reserved2 : 0x00
| | | Transform ID : 2048-BIT MODP (14)
| | | Attributes : NONE
| | TRANSFORM Payload
| | | Next Payload : NONE
| | | Reserved : 0x00
| | | Length : 8 Bytes
| | | Transform Type: DH (4)
| | | Reserved2 : 0x00
| | | Transform ID : 1536-BIT MODP (5)
| | | Attributes : NONE
| PROPOSAL Payload
| | Next Payload : NONE
| | Reserved : 0x00
| | Length : 104 Bytes
| | Proposal number : 2
| | Protocol ID : IPSEC_IKE
| | SPI size : 0
| | #Transforms : 11
| | TRANSFORM Payload
| | | Next Payload : TRANSFORM
| | | Reserved : 0x00
| | | Length : 12 Bytes
| | | Transform Type: ENCR (1)
| | | Reserved2 : 0x00
| | | Transform ID : AES-GCM-16 (20)
| | | Attribute 0
| | | | Type : Basic, KEYLENGTH
| | | | Value : 256
| | TRANSFORM Payload
| | | Next Payload : TRANSFORM
| | | Reserved : 0x00
| | | Length : 12 Bytes
| | | Transform Type: ENCR (1)
| | | Reserved2 : 0x00
| | | Transform ID : AES-GCM-16 (20)
| | | Attribute 0
| | | | Type : Basic, KEYLENGTH
| | | | Value : 128
| | TRANSFORM Payload
| | | Next Payload : TRANSFORM
| | | Reserved : 0x00
| | | Length : 8 Bytes
| | | Transform Type: PRF (2)
| | | Reserved2 : 0x00
| | | Transform ID : PRF-HMAC-SHA-512 (7)
| | | Attributes : NONE
| | TRANSFORM Payload
| | | Next Payload : TRANSFORM
| | | Reserved : 0x00
| | | Length : 8 Bytes
| | | Transform Type: PRF (2)
| | | Reserved2 : 0x00
| | | Transform ID : PRF-HMAC-SHA-384 (6)
| | | Attributes : NONE
| | TRANSFORM Payload
| | | Next Payload : TRANSFORM
| | | Reserved : 0x00
| | | Length : 8 Bytes
| | | Transform Type: PRF (2)
| | | Reserved2 : 0x00
| | | Transform ID : PRF-HMAC-SHA-256 (5)
| | | Attributes : NONE
| | TRANSFORM Payload
| | | Next Payload : TRANSFORM
| | | Reserved : 0x00
| | | Length : 8 Bytes
| | | Transform Type: PRF (2)
| | | Reserved2 : 0x00
| | | Transform ID : PRF-HMAC-SHA1 (2)
| | | Attributes : NONE
| | TRANSFORM Payload
| | | Next Payload : TRANSFORM
| | | Reserved : 0x00
| | | Length : 8 Bytes
| | | Transform Type: DH (4)
| | | Reserved2 : 0x00
| | | Transform ID : 2048-BIT MODP GROUP WITH 256-BIT PRIME ORDER SUBGROUP (24)
| | | Attributes : NONE
| | TRANSFORM Payload
| | | Next Payload : TRANSFORM
| | | Reserved : 0x00
| | | Length : 8 Bytes
| | | Transform Type: DH (4)
| | | Reserved2 : 0x00
| | | Transform ID : 384-BIT RANDOM ECP (20)
| | | Attributes : NONE
| | TRANSFORM Payload
| | | Next Payload : TRANSFORM
| | | Reserved : 0x00
| | | Length : 8 Bytes
| | | Transform Type: DH (4)
| | | Reserved2 : 0x00
| | | Transform ID : 256-BIT RANDOM ECP (19)
| | | Attributes : NONE
| | TRANSFORM Payload
| | | Next Payload : TRANSFORM
| | | Reserved : 0x00
| | | Length : 8 Bytes
| | | Transform Type: DH (4)
| | | Reserved2 : 0x00
| | | Transform ID : 2048-BIT MODP (14)
| | | Attributes : NONE
| | TRANSFORM Payload
| | | Next Payload : NONE
| | | Reserved : 0x00
| | | Length : 8 Bytes
| | | Transform Type: DH (4)
| | | Reserved2 : 0x00
| | | Transform ID : 1536-BIT MODP (5)
| | | Attributes : NONE
KE Payload
| Next Payload : NONCE
| CRITICAL : NO
| Reserved : 0x00
| Length : 264 Bytes
| DH Group : 24
| Reserved2 : 0x0000
| DH-Key(2048 bits) : 0E AB 51 C6 9C 5D F2 EE 92 4D 7E 00 EC 94 0E A8
| 60 CF 3B 3D 65 64 0C 61 DE 91 36 B2 54 65 11 22
| FC 00 77 6C 9F FF D5 BC 49 B6 48 8A 2A B9 8F 42
| 10 B4 70 45 6C E0 32 0C F5 32 81 5F 02 EE A3 2E
| 98 05 74 D6 A5 BB 39 E7 38 55 0F A2 4A 33 14 B9
| 80 52 6A 71 5B A3 14 7B 3C CC A6 1A 27 6E 09 CD
| 7D C6 E3 DA 18 8D AA E1 DA 70 06 BB B4 A1 C3 89
| 46 33 79 C5 AC 21 D0 74 59 B3 76 2B AE 58 36 DF
| 95 E1 77 F4 1D 22 47 C9 66 66 9F 54 F6 F6 6D 72
| 8C 5A 11 31 D2 E2 97 81 44 DE 19 E4 87 01 30 B6
| 67 3F 04 18 91 31 E0 70 88 03 A0 9C 69 05 B0 EA
| FB 9F E7 CE 1B DC 67 75 D6 1A D5 23 51 F6 CD EA
| 9F 7B 40 04 81 DD 93 84 2F 25 ED 3E 3F 65 35 98
| 44 03 47 88 CC 4B 1F AC 68 80 D3 4A 4D A1 AF B1
| 9A 80 DC 10 65 6C 0C 55 1B 57 05 34 5A 03 81 EB
| EC 7F 7A E2 79 D1 C8 D7 8E F7 90 4E 10 D0 9B E2
NONCE Payload
| Next Payload : NOTIFY
| CRITICAL : NO
| Reserved : 0x00
| Length : 36 Bytes
| Nonce(256 bits) : E9 5A 9C 02 82 36 93 8D E9 9D 4C 37 DD B6 B9 E1
| 03 98 82 16 65 E7 87 7F 3C F7 A2 3C F4 CD 63 9D
NOTIFY Payload
| Next Payload : NOTIFY
| CRITICAL : NO
| Reserved : 0x00
| Length : 28 Bytes
| Protocol ID : <Unknown 0>
| SPI size : 0
| Message type : STATUS_NAT_DETECTION_SOURCE_IP
| Notif. data : 88 35 40 24 A1 59 25 3B 73 3F 7F 04 38 06 30 23
| 8C 9D 3B 84
NOTIFY Payload
| Next Payload : NOTIFY
| CRITICAL : NO
| Reserved : 0x00
| Length : 28 Bytes
| Protocol ID : <Unknown 0>
| SPI size : 0
| Message type : STATUS_NAT_DETECTION_DESTINATION_IP
| Notif. data : FD 11 18 E4 01 D3 11 74 21 91 DB 34 3A 15 93 B2
| 82 11 E9 39
NOTIFY Payload
| Next Payload : NOTIFY
| CRITICAL : NO
| Reserved : 0x00
| Length : 14 Bytes
| Protocol ID : <Unknown 0>
| SPI size : 0
| Message type : SIGNATURE_HASH_ALGORITHMS
| Sign. Hash Algs. : SHA-256, SHA-384, SHA-512
NOTIFY Payload
| Next Payload : NONE
| CRITICAL : NO
| Reserved : 0x00
| Length : 8 Bytes
| Protocol ID : <Unknown 0>
| SPI size : 0
| Message type : REDIRECT_SUPPORTED
Screenwolf
Screenwolf 20.07.2020 aktualisiert um 02:04:38 Uhr
Goto Top
DEBUG:


[VPN-Debug] 2020/07/19 23:57:58,829
Peer DEFAULT: Constructing an IKE_SA_INIT-RESPONSE for send
+(request, response) pair inserted into retransmission map
Sending an IKE_SA_INIT-RESPONSE of 36 bytes (responder)
Gateways: 192.168.178.51:500-->IP-Handy:12569, tag 0 (UDP)
SPIs: 0xFC04B609289BC8610000000000000000, Message-ID 0
Payloads: NOTIFY(NO_PROPOSAL_CHOSEN[IKE_SA])

[VPN-Debug] 2020/07/19 23:57:58,830
IKE-TRANSPORT freed

[VPN-Debug] 2020/07/19 23:58:17,185
Peer DEFAULT: Received an IKE_SA_INIT-REQUEST of 650 bytes
Gateways: 192.168.178.51:500<--IP-Handy:12569
SPIs: 0xFC04B609289BC8610000000000000000, Message-ID 0
Payloads: SA, KE, NONCE, NOTIFY(DETECTION_SOURCE_IP), NOTIFY(DETECTION_DESTINATION_IP), NOTIFY(SIGNATURE_HASH_ALGORITHMS), NOTIFY(REDIRECT_SUPPORTED)
QUB-DATA: 192.168.178.253:500<---IP-Handy:12569 rtg_tag 0 physical-channel WAN(1)
transport: [id: 46498, UDP (17) {incoming unicast, fixed source address}, dst: IP-Handy, tag 0 (U), src: 192.168.178.51, hop limit: 64, DSCP: CS6, ECN: Not-ECT, pmtu: 1500, iface: INTERNET (8), mac address: 00:00:00:00:00:00, port 0], local port: 500, remote port: 12569
+No IKE_SA found
Counting consumed licenses by active channels...
Consumed connected licenses : 0
Negotiating connections : 0
IKE negotiations : 0
MPPE connections : 0
Licenses in use : 0 < 3
[VPN-Debug] 2020/07/19 23:57:58,829
Peer DEFAULT: Constructing an IKE_SA_INIT-RESPONSE for send
+(request, response) pair inserted into retransmission map
Sending an IKE_SA_INIT-RESPONSE of 36 bytes (responder)
Gateways: 192.168.178.51:500-->Handy-IP:12569, tag 0 (UDP)
SPIs: 0xFC04B609289BC8610000000000000000, Message-ID 0
Payloads: NOTIFY(NO_PROPOSAL_CHOSEN[IKE_SA])

[VPN-Debug] 2020/07/19 23:57:58,830
IKE-TRANSPORT freed

[VPN-Debug] 2020/07/19 23:58:17,185
Peer DEFAULT: Received an IKE_SA_INIT-REQUEST of 650 bytes
Gateways: 192.168.178.51:500<--Handy-IP:12569
SPIs: 0xFC04B609289BC8610000000000000000, Message-ID 0
Payloads: SA, KE, NONCE, NOTIFY(DETECTION_SOURCE_IP), NOTIFY(DETECTION_DESTINATION_IP), NOTIFY(SIGNATURE_HASH_ALGORITHMS), NOTIFY(REDIRECT_SUPPORTED)
QUB-DATA: 192.168.178.253:500<---Handy-IP:12569 rtg_tag 0 physical-channel WAN(1)
transport: [id: 46498, UDP (17) {incoming unicast, fixed source address}, dst: Handy-IP, tag 0 (U), src: 192.168.178.51, hop limit: 64, DSCP: CS6, ECN: Not-ECT, pmtu: 1500, iface: INTERNET (8), mac address: 00:00:00:00:00:00, port 0], local port: 500, remote port: 12569
+No IKE_SA found
Counting consumed licenses by active channels...
Consumed connected licenses : 0
Negotiating connections : 0
IKE negotiations : 0
MPPE connections : 0
Licenses in use : 0 < 3
+Passive connection request accepted (217 micro seconds)
Looking for payload NOTIFY(REDIRECT_SUPPORTED) (41)...Found 1 payload.
+Redirection is not required
Looking for payload NOTIFY(SIGNATURE_HASH_ALGORITHMS) (41)...Found 1 payload.
+Received signature hash algorithms: SHA-256, SHA-384, SHA-512
Looking for payload NOTIFY(DETECTION_SOURCE_IP) (41)...Found 1 payload.
+Computing SHA1(0xFC04B609289BC8610000000000000000|Handy-IP:12569)
+Computing SHA1(0xFC04B609289BC861000000000000000050BB65D03119)
+Computed: 0x0578A1760D7074C0074E5162F5F4FD32715EFE16
+Received: 0x82F55D18C1AE2596E7FFFD0EAF6D7346A3B3BE11
+Not equal => NAT-T enabled => switching on port 4500
Looking for payload NOTIFY(DETECTION_DESTINATION_IP) (41)...Found 1 payload.
+Computing SHA1(0xFC04B609289BC8610000000000000000|192.168.178.51:500)
+Computing SHA1(0xFC04B609289BC8610000000000000000C0A8B23301F4)
+Computed: 0xFD2D79C2A68F451E8D87DDCF29E95153B468A57D
+Received: 0xE00DB2FD62087398ABA239596F2DE886BC8A4F2E
+Not equal. NAT-T already enabled
Looking for payload IKE_SA (33)...Found 1 payload.
+Config ENCR transform(s): AES-GCM-16-256 AES-CBC-256
+Received ENCR transform(s): AES-CBC-256 AES-CBC-128
+Best intersection: AES-CBC-256
+Config PRF transform(s): PRF-HMAC-SHA-256 PRF-HMAC-SHA1
+Received PRF transform(s): PRF-HMAC-SHA-512 PRF-HMAC-SHA-384 PRF-HMAC-SHA-256 PRF-HMAC-SHA1
+Best intersection: PRF-HMAC-SHA-256
+Config INTEG transform(s): HMAC-SHA-256 HMAC-SHA1
+Received INTEG transform(s): HMAC-SHA-512 HMAC-SHA-384 HMAC-SHA-256 HMAC-SHA1
+Best intersection: HMAC-SHA-256
+Config DH transform(s): 2
+Received DH transform(s): 24 20 19 14 5
-No intersection
-DH transform is obligatory for IKE-Protocol
-Skipping proposal 1
+Config ENCR transform(s): AES-GCM-16-256 AES-CBC-256
+Received ENCR transform(s): AES-GCM-16-256 AES-GCM-16-128
+Best intersection: AES-GCM-16-256
+Config PRF transform(s): PRF-HMAC-SHA-256 PRF-HMAC-SHA1
+Received PRF transform(s): PRF-HMAC-SHA-512 PRF-HMAC-SHA-384 PRF-HMAC-SHA-256 PRF-HMAC-SHA1
+Best intersection: PRF-HMAC-SHA-256
+Config INTEG transform(s): HMAC-SHA-256 HMAC-SHA1
+Received INTEG transform(s):
+Best intersection: ignored since ENCR-Transform is an authenticated cipher
+Config DH transform(s): 2
+Received DH transform(s): 24 20 19 14 5
+Best intersection: ignored since ENCR-Transform is an authenticated cipher
-DH transform is obligatory for IKE-Protocol
-Skipping proposal 2
aqui
aqui 20.07.2020 aktualisiert um 09:50:51 Uhr
Goto Top
.51 ist für das Internet zuständig.
Was soll uns diese geheimnisvollen und kryptischen Worte wohl sagen ??? Alles ist ja irgendwie fürs Internet zuständig, auch der Hausmeister der die Kühlung im Provider RZ wartet....etwas sinnfrei der Satz.

Die .178.51 ist ja auch irgendeine IP Adresse im Koppelnetz zwischen FritzBox und Lancom...fragt sich nur WELCHE ??
Vermutlich hast du da dein Smartphone oder einen anderen VPN Client via FritzBox WLAN oder LAN angeflanscht, oder ?
Ein Blick in die DHCP IP Adressvergabe der FritzBox hätte hier für alle sofortige (Adress) Klarheit geschaffen ! face-sad

Generell ist die Vorgehensweise aber richtig das man mit einem VPN Client im Koppelnetz erstmal wasserdicht testet das die VPN Verbindung zum Lancom fehlerlos von dort klappt bevor man dann das gleiche von extern (Internet) testet. Mit dieser richtigen Vorgehensweise kann man dann immer ganz sicher ausschliessen das es noch ein Fehler im VPN Setup selber ist.
tikayevent
Lösung tikayevent 20.07.2020 aktualisiert um 10:41:52 Uhr
Goto Top
| Message type : NO_PROPOSAL_CHOSEN

debug ist doof, hab ich doch geschrieben, aber ich habe es gefunden. Dein Handy und der Router können sich nicht einigen, welche Verschlüsselungs- und Hashalgorithmen genutzt werden sollen.

+Config DH transform(s): 2
+Received DH transform(s): 24 20 19 14 5

Du hast einen Mismatch bei der DH-Gruppe. Das Handy kommt mit 5, 14, 19, 20 und 24. rein, du bietest aber nur 2 an.
Screenwolf
Screenwolf 20.07.2020 um 12:35:32 Uhr
Goto Top
Hallo Tikayevent,

genau das war das Problem.

Jetzt klappt es direkt mit der Verbindung und ich bin über VPN per Handy angemeldet.


!!!! Vielen Dank an alle die geholfen haben. !!!