riegeler
Goto Top

Shrew Client VPN Windows 11 zu Fritzbox 6660 negotiation timeout occurred

Hallo,

ich kann mit dem Shrew Client unter Windows 10 erfolgreich eine VPN-Verbindung zu einer Fritzbox 6660 aufbauen - alles klappt.
Auf einem neuen Clienten, der Windows 11 hat, klappt es leider nicht, es kommt "negotiation timeout occurred".
Leider kann ich genau auf diesem PC nicht "schnell" unter Windows 10 testen, theoretisch sollte es sehr ähnlich sein.

- Die Firewall und den Virenscanner habe ich schon komplett deaktiviert - hilft nicht
- LAN oder WLAN macht keinen Unterschied.
- In den Eigenschaften der Netzwerkkarte ist "Shrew Soft Lightweight Filter" aktiviert
- Die 2 Dienste des Shrew-Client laufen
- Die Fritzbox kann über den kryptischen von AVM-vergebenen Namen xxx.myfritz.net:xxx/ erreicht werden, d.h. theoretisch sollte die Verbindung aufgebaut werden können
- Genau die gleiche .vpn - Datei funktioniert auf einem anderen Rechner (der hat Windows 10), daher sollte in der Fritzbox alles korrekt sein?

Hat schon jemand erfolgreich mit Windows 11 getestet?

Als Alternative würde ich auch den Fritz-Fernzugang verwenden. Aber dort kann man leider nicht den lokalen DNS-Server einstellen (im Shrew-Client unter "Name Resolution" -> "DNS"). Vermutlich hängt das mit dem Rebind-Schutz zusammen, obwohl ich dort Ausnahmen eingetragen habe. Aber warum kann man beim Shrew-Client den lokalen DNS in der Client-Konfig eintragen und beim Fritz-Fernzugang müsste man es in der Fritzbox machen (unlogisch)?

Hat jemand eine Idee wie man es (am liebsten den Shrew-Client) zum Laufen bekommen könnte?

Viele Grüße,
Daniel

Content-ID: 1538742337

Url: https://administrator.de/forum/shrew-client-vpn-windows-11-zu-fritzbox-6660-negotiation-timeout-occurred-1538742337.html

Ausgedruckt am: 19.12.2024 um 15:12 Uhr

goscho
goscho 22.11.2021 um 13:57:14 Uhr
Goto Top
Mahlzeit,

hast du den Windows 11 PC neugestartet, nachdem du Shrew installiert hast?

Läuft noch ein anderes IPSEC VPN-Programm, bspw. Fritz Fernzugang?
Wenn ja, dann deinstalliere dieses Programm.
riegeler
riegeler 22.11.2021 um 14:06:34 Uhr
Goto Top
Hi,

ja, mehrmals neugestartet.
Windows 11 ist ja noch ganz frisch, etwa 1 Woche drauf. Der Shrew Client wurde zuerst installiert und hatte schon von anfang an die genannte Fehlermeldung. Erst später habe ich es mit dem Fritz-Fernzugang versucht, aber das änderte nichts am Verhalten vom Shrew Client (kann den Fernzugang gern wieder löschen, aber auf anderen Rechnern ist auch beides drauf und stört sich nicht gegenseitig).
Sonst ist nichts eingerichtet, weder eine manuelle IPSec-Verbindung noch sonst irgendwas mit VPN.

Kommt man mit irgendeiner Debug-Ausgabe weiter oder kann man da irgendwie mehr Infos rausziehen, was genau beim "negotiating" schief läuft (was klappt beim Aushandeln nicht)?
Preshared Key, Benutzername, Passwort alles geprüft und wie erwähnt läuft die gleiche Konfig auf nem anderen Rechner.
goscho
goscho 23.11.2021 um 09:46:23 Uhr
Goto Top
Moin,

Kommt man mit irgendeiner Debug-Ausgabe weiter oder kann man da irgendwie mehr Infos rausziehen, was genau beim "negotiating" schief läuft (was klappt beim Aushandeln nicht)?
ja, dafür gibt es das VPN Trace von Shrew. Hat mir schon öfter geholfen, Fehler angezeigt zu bekommen, die man auch googlen kann.

Dein Problem kann aber durchaus mit Windows 11 zusammenhängen.

Ich hatte vor ein paar Wochen etwas ähnliches mit Lancom und dem Shrew-Client. Bei einer neuen Firmware war plötzlich keine Kommunikation über das VPN mehr möglich.
Firmware zurückgesetzt und alles war wieder ok. Das bei verschiedenen Geräten mit diesem Firmwarestand. Der Support schloss dann das Ticket ohne Lösung, weil angeblich von niemandem sonst gemeldet.
riegeler
riegeler 23.11.2021 um 13:51:52 Uhr
Goto Top
Ich hatte vor ein paar Wochen etwas ähnliches mit Lancom und dem Shrew-Client. Bei einer neuen Firmware war plötzlich keine Kommunikation über das VPN mehr möglich.
Meinst Du eine neue Firmware auf dem Lancom-Router? In meinem Fall ist die Firmware der Fritzbox gleich, es ändert sich lediglich der Client. Vom anderen Windows 10 Client geht's ja noch.
Inwiefern war keine Kommunikation mehr möglich, kam auch beim Einloggen "Negotiation timeout occured"?

Den Trace werde ich zeitnah aufnehmen...
goscho
goscho 23.11.2021 um 16:15:36 Uhr
Goto Top
Zitat von @riegeler:
Inwiefern war keine Kommunikation mehr möglich, kam auch beim Einloggen "Negotiation timeout occured"?
Nein, das VPN war sauber aufgebaut. Es ging aber nichts durch.

Ich wollte damit nur sagen, dass es durchaus sein kann, dass nach einem Upgrade auf Windows 11 zu solchen Problemen kommen kann.
riegeler
riegeler 26.11.2021 um 07:48:10 Uhr
Goto Top
Hallo,

es scheint nicht an Windows 11 zu liegen, denn mit einem anderen Client unter Windows 11 läufts (jedoch in anderem lokalen Netz).

Nun hat sich herausgestellt, dass über WLAN die Verbindung aufgebaut wird, über LAN jedoch nicht.
LAN ist ein Intel I225-V und WLAN ein Intel Wi-Fi 6 AX201 - Chipsatz, die Treiber werde ich nochmals prüfen (sind ja aber in Windows bereits dabei).
Könnte das eher ein Problem mit dem Router/Switch sein oder dem Treiber?

In iked.log mit LAN sieht man, dass nach "phase1 ref decrement" 3x ein Resend kommt und dann geht's wohl nicht mehr weiter:

21/11/25 19:42:33 -> : send IKE packet 192.168.0.101:500 -> 134.3.166.55:500 ( 1203 bytes )
21/11/25 19:42:33 DB : phase1 resend event scheduled ( ref count = 2 )
21/11/25 19:42:33 DB : phase1 ref decrement ( ref count = 1, obj count = 1 )
21/11/25 19:42:38 -> : resend 1 phase1 packet(s) [0/2] 192.168.0.101:500 -> 134.3.166.55:500
21/11/25 19:42:43 -> : resend 1 phase1 packet(s) [1/2] 192.168.0.101:500 -> 134.3.166.55:500
21/11/25 19:42:48 -> : resend 1 phase1 packet(s) [2/2] 192.168.0.101:500 -> 134.3.166.55:500
21/11/25 19:42:53 ii : resend limit exceeded for phase1 exchange
21/11/25 19:42:53 ii : phase1 removal before expire time
21/11/25 19:42:53 DB : phase1 deleted ( obj count = 0 )
21/11/25 19:42:53 DB : tunnel ref decrement ( ref count = 1, obj count = 1 )
21/11/25 19:42:53 DB : policy not found
21/11/25 19:42:53 DB : policy not found
21/11/25 19:42:53 DB : policy not found
21/11/25 19:42:53 DB : policy not found
21/11/25 19:42:53 DB : policy not found
21/11/25 19:42:53 DB : policy not found
21/11/25 19:42:53 DB : removing tunnel config references
21/11/25 19:42:53 DB : removing tunnel phase2 references
21/11/25 19:42:53 DB : removing tunnel phase1 references
21/11/25 19:42:53 DB : tunnel deleted ( obj count = 0 )
21/11/25 19:42:53 DB : peer ref decrement ( ref count = 1, obj count = 1 )
21/11/25 19:42:53 DB : removing all peer tunnel references
21/11/25 19:42:53 DB : peer deleted ( obj count = 0 )
21/11/25 19:42:53 ii : ipc client process thread exit ...

In iked.log mit WLAN sieht man, dass nach "phase1 ref decrement" direkt "recv IKE packet 134.3.166.55:500" kommt:

21/11/25 19:46:52 -> : send IKE packet 192.168.0.147:500 -> 134.3.166.55:500 ( 1203 bytes )
21/11/25 19:46:53 DB : phase1 resend event scheduled ( ref count = 2 )
21/11/25 19:46:53 DB : phase1 ref decrement ( ref count = 1, obj count = 1 )
21/11/25 19:46:53 <- : recv IKE packet 134.3.166.55:500 -> 192.168.0.147:500 ( 472 bytes )
21/11/25 19:46:53 DB : phase1 found
21/11/25 19:46:53 DB : phase1 ref increment ( ref count = 2, obj count = 1 )
21/11/25 19:46:53 ii : processing phase1 packet ( 472 bytes )
21/11/25 19:46:53 =< : cookies 520ba98f43e6df97:3e9b08816807b12f
21/11/25 19:46:53 =< : message 00000000
21/11/25 19:46:53 << : security association payload
> Zitat von @riegeler:

Was genau läuft hier in der phase1 falsch?
Diese ist ja immer gleich eingestellt:
phase1
goscho
goscho 26.11.2021 um 08:34:09 Uhr
Goto Top
Zitat von @riegeler:

Hallo,

es scheint nicht an Windows 11 zu liegen, denn mit einem anderen Client unter Windows 11 läufts (jedoch in anderem lokalen Netz).

Nun hat sich herausgestellt, dass über WLAN die Verbindung aufgebaut wird, über LAN jedoch nicht.
LAN ist ein Intel I225-V und WLAN ein Intel Wi-Fi 6 AX201 - Chipsatz, die Treiber werde ich nochmals prüfen (sind ja aber in Windows bereits dabei).
Könnte das eher ein Problem mit dem Router/Switch sein oder dem Treiber?
Du hast jetzt Windows 11 ausgeschlossen. Das Gerät selbst kann es auch, in diesem Netz aber nur per WLAN.

Warum nimmst du das Notebook nicht einfach in ein anderes LAN und verbindest dich von dort. Sollte doch ein einfacher Test sein. face-wink
riegeler
riegeler 26.11.2021 um 08:45:54 Uhr
Goto Top
Zitat von @goscho:

Warum nimmst du das Notebook nicht einfach in ein anderes LAN und verbindest dich von dort. Sollte doch ein einfacher Test sein. face-wink

Es ist kein Notebook sondern ein NUC, aber kann man trotzdem transportieren, wenn auch Bildschirm/Tastatur etwas umständlich. Nur dafür braucht man ein drittes LAN, also nicht das der Fritzbox und nicht das aktuelle des Client, da muss ich erstmal eines suchen...

Woran könnte das liegen, dass 3x ein Resend mit phase 1 kommt, ist irgendwas unvollständig oder wird irgendwas gefiltert? Gerade das LAN sollte doch weniger fehleranfällig und stabiler sein?
riegeler
riegeler 30.11.2021 um 07:16:32 Uhr
Goto Top
Gestern hab ich mir die Support-Datei der Fritzbox 6660 angeschaut, einmal von Benutzer 1 (wie erwähnt, hier kommt negotiation timeout) und Benutzer 2 (das bin ich, hier klappt es) und es tritt ein IKE-Error 0x2027 beim Aufbau der phase 1 auf:

Benutzer 1:
2021-11-29 20:28:14 avmike:<<<  aggressive mode[46.5.229.199:51146] ???: V1.0 1175 IC da6450763fc482f8 RC 00000000 0000 SA flags=
2021-11-29 20:28:14 avmike:aggressive mode benutzer1: selected lifetime: 28800 sec(notify)
2021-11-29 20:28:14 avmike:benutzer1 receive VENDOR ID Payload: XAUTH
2021-11-29 20:28:14 avmike:benutzer1 receive VENDOR ID Payload: NAT-T RFC 3947
2021-11-29 20:28:14 avmike:benutzer1 receive VENDOR ID Payload: DPD
2021-11-29 20:28:14 avmike:benutzer1: add phase 1 SA: DH2/AES-256/SHA1/28800sec id:50
2021-11-29 20:28:14 avmike:create phase1 responder lifetime payload
2021-11-29 20:28:14 avmike:>>> aggressive mode [46.5.229.199:51146] benutzer1: V1.0 472 IC da6450763fc482f8 RC e22b03a544880150 0000 SA flags=
2021-11-29 20:28:19 avmike:<<<  aggressive mode[46.5.229.199:51146] benutzer1: V1.0 1175 IC da6450763fc482f8 RC 00000000 0000 SA flags=
2021-11-29 20:28:24 avmike:<<<  aggressive mode[46.5.229.199:51146] benutzer1: V1.0 1175 IC da6450763fc482f8 RC 00000000 0000 SA flags=
2021-11-29 20:28:28 avmike:benutzer1: Phase 1 failed (responder): IKE-Error 0x2027
2021-11-29 20:28:28 avmike:benutzer1: del phase 1 SA 50
2021-11-29 20:28:29 avmike:<<<  aggressive mode[46.5.229.199:51146] ???: V1.0 1175 IC da6450763fc482f8 RC 00000000 0000 SA flags=
2021-11-29 20:28:29 avmike:aggressive mode benutzer1: selected lifetime: 28800 sec(notify)
2021-11-29 20:28:29 avmike:benutzer1 receive VENDOR ID Payload: XAUTH
2021-11-29 20:28:29 avmike:benutzer1 receive VENDOR ID Payload: NAT-T RFC 3947
2021-11-29 20:28:29 avmike:benutzer1 receive VENDOR ID Payload: DPD
2021-11-29 20:28:29 avmike:benutzer1: add phase 1 SA: DH2/AES-256/SHA1/28800sec id:51
2021-11-29 20:28:29 avmike:create phase1 responder lifetime payload
2021-11-29 20:28:29 avmike:>>> aggressive mode [46.5.229.199:51146] benutzer1: V1.0 472 IC da6450763fc482f8 RC 5c776dff39f474aa 0000 SA flags=
2021-11-29 20:28:43 avmike:benutzer1: Phase 1 failed (responder): IKE-Error 0x2027
2021-11-29 20:28:43 avmike:benutzer1: del phase 1 SA 51

Bei Benutzer 2 dagegen wird >>> aggressive mode richtig verstanden, auf NAT-T geswitched und dann steht phase1 (und später phase2):

2021-11-29 21:21:39 avmike:<<<  aggressive mode[77.189.38.187:61043] ???: V1.0 1134 IC 8c105b37cb60a256 RC 00000000 0000 SA flags=
2021-11-29 21:21:39 avmike:aggressive mode benutzer2: selected lifetime: 28800 sec(notify)
2021-11-29 21:21:39 avmike:benutzer2 receive VENDOR ID Payload: XAUTH
2021-11-29 21:21:39 avmike:benutzer2 receive VENDOR ID Payload: NAT-T RFC 3947
2021-11-29 21:21:39 avmike:benutzer2 receive VENDOR ID Payload: DPD
2021-11-29 21:21:39 avmike:benutzer2: add phase 1 SA: DH2/AES-256/SHA1/28800sec id:10
2021-11-29 21:21:39 avmike:create phase1 responder lifetime payload
2021-11-29 21:21:39 avmike:>>> aggressive mode [77.189.38.187:61043] benutzer2: V1.0 472 IC 8c105b37cb60a256 RC e279b10c1133fd7f 0000 SA flags=
2021-11-29 21:21:40 avmike:benutzer2: Warning: source changed from 77.12.43.122:52828 to 77.189.38.187:61044
2021-11-29 21:21:40 avmike:<<< 4500 aggressive mode[77.189.38.187:61044] benutzer2: V1.0 108 IC 8c105b37cb60a256 RC e279b10c1133fd7f 0000 HASH flags=e
2021-11-29 21:21:40 avmike:benutzer2: switching to NAT-T (Responder)
2021-11-29 21:21:40 avmike:benutzer2: Phase 1 ready
2021-11-29 21:21:40 avmike:benutzer2: current=77.12.43.122 new=77.189.38.187
2021-11-29 21:21:40 avmike:benutzer2: no valid sa, resetting initialcontactdone flag
2021-11-29 21:21:40 avmike:> user_changed(name=benutzer2,ipaddr=77.189.38.187:61044)
2021-11-29 21:21:40 avmike:benutzer2: local is behind a nat
2021-11-29 21:21:40 avmike:benutzer2: remote is behind a nat
2021-11-29 21:21:40 avmike:benutzer2: sending initial contact message
2021-11-29 21:21:40 avmike:>r> infomode 4500[77.189.38.187:61044] benutzer2: V1.0 92 IC 8c105b37cb60a256 RC e279b10c1133fd7f e8aa4aed HASH flags=e
2021-11-29 21:21:40 avmike:>>> transaction mode 4500[77.189.38.187:61044] benutzer2: V1.0 92 IC 8c105b37cb60a256 RC e279b10c1133fd7f 880fceb1 HASH flags=e
2021-11-29 21:21:40 avmike:<<< 4500 infomode[77.189.38.187:61044] benutzer2: V1.0 92 IC 8c105b37cb60a256 RC e279b10c1133fd7f 693fb82 HASH flags=e
2021-11-29 21:21:40 avmike:benutzer2: initial contact message received
2021-11-29 21:21:40 avmike:benutzer2: inital contact message ignored
2021-11-29 21:21:40 avmike:<<< 4500 transaction mode[77.189.38.187:61044] benutzer2: V1.0 92 IC 8c105b37cb60a256 RC e279b10c1133fd7f 880fceb1 HASH flags=e
2021-11-29 21:21:40 avmike:XAUTH REPLY received
2021-11-29 21:21:40 avmike:> user_xauth_query(ipaddr=77.189.38.187,name=benutzer2)
2021-11-29 21:21:40 avmike:user_xauth_query_reply -> XAUTH_STATUS_OK
2021-11-29 21:21:40 avmike:>>> transaction mode 4500[77.189.38.187:61044] benutzer2: V1.0 76 IC 8c105b37cb60a256 RC e279b10c1133fd7f 880fceb1 HASH flags=e
2021-11-29 21:21:40 avmike:<<< 4500 transaction mode[77.189.38.187:61044] benutzer2: V1.0 60 IC 8c105b37cb60a256 RC e279b10c1133fd7f 880fceb1 HASH flags=e
2021-11-29 21:21:40 avmike:XAUTH ACK received
2021-11-29 21:21:40 avmike:<<< 4500 transaction mode[77.189.38.187:61044] benutzer2: V1.0 76 IC 8c105b37cb60a256 RC e279b10c1133fd7f 3216722a HASH flags=e
2021-11-29 21:21:40 avmike:CFG REQUEST Msg erhalten
2021-11-29 21:21:40 avmike:> cfgmode_query(name=benutzer2)
2021-11-29 21:21:40 avmike:CFG_SND_REPLY
2021-11-29 21:21:40 avmike:>>> transaction mode 4500[77.189.38.187:61044] benutzer2: V1.0 76 IC 8c105b37cb60a256 RC e279b10c1133fd7f 3216722a HASH flags=e
2021-11-29 21:21:40 avmike:benutzer2: start waiting connections
2021-11-29 21:21:40 avmike:benutzer2: NO waiting connections
2021-11-29 21:21:44 avmike:<<< 4500 quickmode[77.189.38.187:61044] benutzer2: V1.0 1516 IC 8c105b37cb60a256 RC e279b10c1133fd7f 4c1154a2 HASH flags=e
2021-11-29 21:21:44 avmike:delete configmode retry timer for exchange: IC:8c105b37cb60a256 RC:e279b10c1133fd7f
2021-11-29 21:21:44 avmike:>>> quickmode 4500[77.189.38.187:61044] benutzer2: V1.0 156 IC 8c105b37cb60a256 RC e279b10c1133fd7f 4c1154a2 HASH flags=e
2021-11-29 21:21:44 avmike:<<< 4500 quickmode[77.189.38.187:61044] benutzer2: V1.0 60 IC 8c105b37cb60a256 RC e279b10c1133fd7f 4c1154a2 HASH flags=e
2021-11-29 21:21:44 avmike:benutzer2: Phase 2 ready
2021-11-29 21:21:44 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: 56467D5B LT: 3600 I/O: IN
2021-11-29 21:21:44 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: 568F9BBE LT: 3600 I/O: OUT
2021-11-29 21:21:44 avmike:< cb_sa_created(name=benutzer2,id=7,...,flags=0x00032003)
2021-11-29 21:21:44 avmike:benutzer2: start waiting connections
2021-11-29 21:21:44 avmike:benutzer2: NO waiting connections
2021-11-29 21:21:54 avmike:>>>4500 nat-t-keepalive[77.189.38.187:61044]
2021-11-29 21:21:55 avmike:<<< 4500 infomode[77.189.38.187:61044] benutzer2: V1.0 92 IC 8c105b37cb60a256 RC e279b10c1133fd7f a37beadc HASH flags=e
2021-11-29 21:21:55 avmike:>r> infomode 4500[77.189.38.187:61044] benutzer2: V1.0 92 IC 8c105b37cb60a256 RC e279b10c1133fd7f a37beadc HASH flags=e

Was könnte hier bei Benutzer1 schieflaufen? Wird die Antwort der Fritzbox im Shrew-Client nicht mehr empfangen oder geht umgekehrt nicht mehr bis zur Fritzbox raus?

Wenn ich nach IKE-Error 0x2027 google, dann finde ich nur was zur Verbindung 2er Fritzboxen per VPN, wo wohl etwas mit öffentlicher IPv4-Adresse nicht stimmt. Aber hier haben doch sowohl Benutzer1 als auch 2 gültige öffentliche IPv4-Adressen?
PhilipBoone
PhilipBoone 25.02.2022 um 19:12:44 Uhr
Goto Top
Hallo @riegeler, hast du das Problem gelöst? Es könnte an der Netzwerk Karte liegen. Ich habe genau das gleiche Problem mit genau das gleiche Netzwerk Karte... allerdings, der Karte ist auf dem Hauptplatine. Also Intel Treiber installiert sich nicht, aber der Treiber vom Hauptplatine Firma ist installiert.
riegeler
Lösung riegeler 26.02.2022 um 13:15:13 Uhr
Goto Top
Hallo @PhilipBoone, nein leider nicht.
Hast du auch die Intel I225-V - LAN-Schnitstelle?
Wir nutzen jetzt den NCP-Client, mit dem klappt's wunderbar. Kostet aber nach 30 Tage um die 80 Euro.
Ich hatte es auch mit WLAN getestet, Schrew-Client meldete grün, aber die Fritzbox in Wirklichkeit nicht, ging also nicht. Aber an einem anderen Telekom-DSL-Anschluss anstatt wie hier einem Vodafone-Kabel-Anschluss klappte es mit WLAN. Nur leider auch nicht mit LAN. Mit einem USB-LAN-Adapter war es gleich wie mit WLAN, Shrew meint es steht, aber die Fritzbox-Oberfläche zeigt nichts "grün" an.
Es kann so vieles sein, vielleicht sogar mehreres:
- Intel I225-V - Hardware oder Treiber?
- Vodafone-DSL-Anschluss (Router, etc.)?
- Win11?
- Einstellung der Fritzbox oder Shrew-Client?

Da ich sowieso nicht vor Ort bin, bezahlen wir eben den NCP-Client. Zeit (zum rumsuchen und doch nichts finden) ist auch Geld, in der man hätte vieles Arbeiten können.
Aber interessieren tut's mich trotzdem, konnte das Rätsel jedoch noch nicht lösen.

Wenn Du etwas rausbekommst, lass es mich gerne wissen face-smile
PhilipBoone
PhilipBoone 26.02.2022 aktualisiert um 17:36:26 Uhr
Goto Top
Hey, @riegeler,
da hast du sowas von Recht. Daher hasse ich Netzwerk Probleme :/

Der I225-V wo ich versuche das Problem zu lösen, ist OnBoard (auf ein Gigabit Hauptplatine). Daher, kann nicht mal die Original Treiber von Intel verwendet werden. Gigabit hat ja Treiber dafür, hat aber nicht geholfen. Ich weis, dass es nicht an der Empfänger FritzBox liegt. Ich kann mit dem betroffene VPN Zugang von einem anderen Computer (und Anschluss) aus zugreifen. Der betroffene Anschluss ist NetCologne mit ein Kabel FritzBox. Ich werde mit eine andere Netztwerk Karte als nächstes versuchen. Habe hier ein Broadcom PCI Karte. Ich sage Beschied was ich erfahre.

Ich bin ziemlich sicher, dass es der I225-V und oder Treiber ist. Das Problem war auch als Windows 10 drauf war vorhanden. Jetzt ist ein Update auf Win11 gemacht worden... habe gehofft das Problem wäre weg. Leider nein.

Auf der Ziel FritzBox sind eine grosse Menge an VPN Zugänge konfiguriert. Die Zugängen werden von viele unterschiedliche Computer und Notebooks verwendet. Habe dieses Problem bisher mit 2 davon. Der andere ist ein Acer Notebook oder so. Habe mich nicht lange damit auseinander gesetzt... bin stattdessen auf TeamViewer umgestiegen. Aber auf der jetzige Problem PC muss mit VPN gearbeitet werden. Hoffe es geht mit der PCI Karte.

Sind die 80€ eine einmalige Kosten? Ich habe auch in Erwägung gesetzt, eine andere Client zu nutzen. Auch wenn es was kosten wurde.
riegeler
riegeler 27.02.2022 aktualisiert um 10:49:46 Uhr
Goto Top
Eine einzelne Lizenz findet man gerade für 89, z.B. hier:
www.enespa-software.de/ncp-secure-entry-client-for-windows
Das sollte einmalig sein. Ich würde Dir aber empfehlen, erstmal die 30 Tage kostenlos zu testen.

Eine offizielle Anleitung gibt's auch:
www.ncp-e.com/fileadmin/_NCP/pdf/library/guides/NCP_Entry_Client_AVM_FRITZ_Box_v2.pdf

Trotzdem wäre es schön wenn es mit dem Shew ginge. Bei mir sind ebenfalls mehrere Benutzer in der Fritzbox eingerichtet und die anderen funktionieren alle, bzw. der eine Zugang um den's geht, klappt von anderen PCs. Wenn's mit dem NCP geht, dann macht der Shrew wohl irgendwas anders / falsch.

Habe letztens gelesen, dass die Fritz-Box Wireguard Unterstützung bekommt, z.B. hier:
www.heise.de/news/Beta-Firmware-fuer-Fritzbox-7590-Krasse-VPN-Beschleunigung-mit-WireGuard-6332407.html

Wäre das vielleicht eine alternative Möglichkeit?
goscho
goscho 28.02.2022 um 10:29:42 Uhr
Goto Top
@riegeler
@PhilipBoone

wenn ihr das VPN beruflich nutzt, ersetzt die Fritzbox gegen Business-Hardware.
Seit vielen Jahren setze ich bei mir und meinen Kunden Lancom Hardware ein. Selbst wenn es mal ein Problem mit einer VPN-Verbindung gibt, hat man dann wenigstens Möglichkeiten, diese zu analysieren (Tracen) und zu beheben.
Dazu gibt es auch eine Support bei Problemen, der sich per Teamviewer aufschaltet und bei der Fehlersuche hilft.

Bei Fritzboxen gibt es entweder nur 2 Modi:
geht oder geht nicht.
Diese Boxen sind aber auch eher für Heimanwender oder Kleinstunternehmen gedacht.
PhilipBoone
PhilipBoone 01.03.2022 um 15:51:25 Uhr
Goto Top
@goscho
sorry, aber LanCom sucks face-smile
riegeler
riegeler 02.03.2022 um 07:05:02 Uhr
Goto Top
@PhilipBoone Schon persönliche Erfahrungen mit Lancom?

@goscho
Kann man die Lancom-HW auch zusammen am Kabelanschluss (Vodafone) nutzen?
Ich fände es schade, wenn wir die Fritzbox lediglich zum Modem degradieren würden, nachdem die momentan so ziemlich alles für's LAN/WLAN tut.
Außer sie komplett mit einem Lancom ersetzen, aber dann fehlt doch ein Kabelmodem, oder gibt es auch Lancoms mit Kabelmodem?
Bei einer 8-Mann Firma würden hier gerne 1-2 Leute ab und zu VPN nutzen. Mit Shrew und der richtigen Client-Hardware bzw. dem NCP-Client funktioniert es doch tadellos und sicher oder warum sollten wir investieren?

Kann es eigentlich sein, dass der NCP-Client mehrfach unter verschiedenem Namen existiert bzw. gelabelt wird?
- LANCOM Advanced VPN Client
- bintec elmeg IPSec Client
- NCP Secure Entry Windows Client
sehen alle optisch gleich aus.
goscho
goscho 02.03.2022 um 14:24:16 Uhr
Goto Top
Zitat von @riegeler:
@goscho
Kann man die Lancom-HW auch zusammen am Kabelanschluss (Vodafone) nutzen?
ja, dann benötigst du allerdings ein Kabelmodem. Ich habe einen 1906VA als Router im Einsatz.
Der Hauptinternetzugang ist ein Vodafone Kabelanschluss. Am Router hängt ein TC4400EU-Kabelmodem.
Zusätzlich habe ich einen VDSL-Anschluss am Lancom aufgelegt.
Ich fände es schade, wenn wir die Fritzbox lediglich zum Modem degradieren würden, nachdem die momentan so ziemlich alles für's LAN/WLAN tut.
Fritzboxen sind gute Router für zu Hause und das Homeoffice, aber für richtige Firmen gibt es auch richtige Businessrouter.
Außer sie komplett mit einem Lancom ersetzen, aber dann fehlt doch ein Kabelmodem, oder gibt es auch Lancoms mit Kabelmodem?
nein, siehe oben - ein TC4400EU dran und dann läuft das wie geschmiert.
Bei einer 8-Mann Firma würden hier gerne 1-2 Leute ab und zu VPN nutzen. Mit Shrew und der richtigen Client-Hardware bzw. dem NCP-Client funktioniert es doch tadellos und sicher oder warum sollten wir investieren?
Niemand muss investieren, wenn alles zur Zufriedenheit läuft.
Wenn es Probleme gibt, dann muss man diese lösen.
Kann es eigentlich sein, dass der NCP-Client mehrfach unter verschiedenem Namen existiert bzw. gelabelt wird?
- LANCOM Advanced VPN Client
- bintec elmeg IPSec Client
- NCP Secure Entry Windows Client
sind alles NCP-Derivate
PhilipBoone
PhilipBoone 04.03.2022 um 10:23:14 Uhr
Goto Top
Zitat von @riegeler:

@PhilipBoone Schon persönliche Erfahrungen mit Lancom?

ja, genau. Eigentlich sind LanCom's okay, aber du muss Rocket Science Studiert haben, um sie zu konfigurieren. Es kommt mir so vor als ob sie von Französen entwickelt wurde, aber die Admin GUI ist von Inder entwickelt und von Chinesen in Englisch übersetz worden.

Das schlechteste Erfahrung die ich aber mit LanCom gehabt habe ist, dass die VPN Client hindert die Funktionalität meine andere installierte VPN Clients. Ich habe (muss) mehrere VPN Clients installieren. FortiGate, Shrew Soft, Secure Point und auch noch HMA VPN. Wenn ich LanCom Client installiere, funktioniert die anderen nicht mehr. Glücklicherweise, reicht es die LanCom Client zu deinstallieren, damit die anderen wieder funktionieren. Und, glücklicherweise, brauche ich den LanCom Client nicht all zu oft. Es ist trotzdem sehr lästig. Und, die Client ist nicht um sonst. Du muss eine Lizenz bei LanCom kaufen. Also ja, LanCom sucks to high heaven.


Der Nutzer mit das Problem hatte leider noch keine Zeit gehabt, die Zusatz LAN Karte in seine PC einzubauen... daher, weiß ich noch nicht, ob es das Problem löst. Aber, sobald ich was weiß, melde ich es hier.
riegeler
riegeler 04.03.2022 um 14:01:20 Uhr
Goto Top
Wenn man den LanCom Client noch dazukaufen muss, summiert sich doch einiges zusammen. Solange das mit der Fritzbox bei uns funktioniert (entweder kompatibler PC/Netzwerkkarte oder den NCP-Client), lasse ich es mit der Fritzbox weiterlaufen.
Es muss auch nicht unbedingt LanCom sein, da gibt es ja einige Mitbewerber. Vermutlich aber ist LanCom noch vergleichweise günstig (deshalb schlampig übersetzte Admin Gui und nerviger Client).

@goscho Was ist denn eine richtige Firma? Machst Du das an der Mitarbeiterzahl, Umsatz oder den Handelsbeziehungen aus? D.h. eine Firma mit < xxx Umsatz ist nicht richtig sondern falsch?
Es gibt für so ziemlich alles mögliche ausgereiftere, professionellere Software/Hardware/Systeme. Aber was bringt es einer kleinen Firma "richtige" (=teure) Hardware zu kaufen, die sie in den Ruin treibt? Es muss doch immer verhältnismäßig und auf den Bedarf zugeschnitten sein, sonst macht es keinen Sinn. Solange man nicht Stunden an Arbeitszeit mit der Fritzbox vertrödelt und eine Lösung hat, sehe ich keinen Handlungsbedarf.
goscho
goscho 07.03.2022 aktualisiert um 13:02:55 Uhr
Goto Top
Zitat von @PhilipBoone:

Zitat von @riegeler:

@PhilipBoone Schon persönliche Erfahrungen mit Lancom?

ja, genau. Eigentlich sind LanCom's okay, aber du muss Rocket Science Studiert haben, um sie zu konfigurieren. Es kommt mir so vor als ob sie von Französen entwickelt wurde, aber die Admin GUI ist von Inder entwickelt und von Chinesen in Englisch übersetz worden.
Lancom Router sind nix für Fritzbox-Admins, zu anspruchsvoll.
Aber wenn du Probleme hast, gibt es genug Leute, die solche Geräte konfigurieren können. face-smile

Das schlechteste Erfahrung die ich aber mit LanCom gehabt habe ist, dass die VPN Client hindert die Funktionalität meine andere installierte VPN Clients. Ich habe (muss) mehrere VPN Clients installieren. FortiGate, Shrew Soft, Secure Point und auch noch HMA VPN. Wenn ich LanCom Client installiere, funktioniert die anderen nicht mehr.
Das ist sehr häufig bei VPN-Clients der Fall und überhaupt nichts besonderes und es hat schon mal gar nichts mit dem Lancom (NCP) Client zu tun.
Das habe ich schon häufiger bei unterschiedlichsten Clients beobachten können.

Es gibt allerdings kaum Gründe, um mehrere verschiedene VPN-Clients auf dem selben PC zu installieren.
BTW: Ich habe auf meinem Notebook den Lancom-VPN-Client und Shrew-Soft parallel installiert und keine Probleme damit.

Zitat von @riegeler:
@goscho Was ist denn eine richtige Firma? Machst Du das an der Mitarbeiterzahl, Umsatz oder den Handelsbeziehungen aus? D.h. eine Firma mit < xxx Umsatz ist nicht richtig sondern falsch?
Das hat nichts mit der Mitarbeiterzahl oder dem Umsatz zu tun, sondern mit den Ansprüchen.
Ich habe ein Kleinstunternehmen und nutze einen Lancom 1906VA, der ca. 1100,- € gekostet hat.

Meine Kunden sind zumeist KMU und setzen trotzdem häufig Router von Lancom ein. Oft haben sie mehrere Internetzugänge, dann sind Fritten eh schon raus.
Hier noch ein paar Suchbegriffe für dich, warum Fritten keine Business-Router sind:
VLAN, VPN-Durchsatz, Firewall-Konfiguration,
Es gibt für so ziemlich alles mögliche ausgereiftere, professionellere Software/Hardware/Systeme. Aber was bringt es einer kleinen Firma "richtige" (=teure) Hardware zu kaufen, die sie in den Ruin treibt?
Wenn dich ein 600,- € Router in den Ruin treibt, dann kann man kaum weiterhelfen.

Außerdem ist das eine Milchmädchenrechnung.
Wenn ich 10h Fehlersuche in ein Fritzbox-VPN stecke, habe ich die Kosten für die Business-Hardware schon wieder raus.
OldMyth
OldMyth 19.03.2022 um 18:17:50 Uhr
Goto Top
Your problem is more than likely Windows 11.

I have seen a working installation of the Shrew client on windows 10 stop working after an upgrade to Windows 11. The Shrew client would still connect but would not pass any data through the tunnel

On a clean installation of Windows 11 the Shrew client would install but would not even connect.

We use a predefined configuration that is imported into all of our Shrew clients which would rule out a configuration problem since all Shrew clients use the same configuration and only the clients installed on Windows 11 have connectivity issues. Before jumping to hardware as an issue ask yourself, did it work before when Windows 10 was installed? Windows 11 broke a lot of applications.
148523
148523 19.03.2022 um 19:39:52 Uhr
Goto Top
Lancom supports perfectly IKEv2 so in terms of Lancom there is definitely no need to install the Shrew client which only supports IKEv1.
Lancom routers perfectly supports the onboard IKEv2 Client either on Windows as well as on MacOS and Linux.
OldMyth
OldMyth 19.03.2022 um 19:49:09 Uhr
Goto Top
In our case we run Adtran routers and still use IKEv1. It is not the version of IKE causing the issues, it is how the client is interacting with the network stack on Windows 11. Some changes were made however subtle, they were enough to cause issues. The Shrew client is just one of the applications that is having issues with Windows 11, there are others too such as QuickBooks 2021.
alegend
alegend 25.03.2022 um 07:56:57 Uhr
Goto Top
Ich klinke mich hier mal ei nface-smile
Ich kann mit 100% sicherheit sagen dass es an der Intel 225 liegt!
Ich habe Wochen mit Tests zugebracht und es läuft immer mit anderen Karten - sei es USB oder Thunderbolt.
Sobald ich die Onboard Intel des NUC nutze geht keine VPN Verbindung mehr zur Fritzbox.
OPEN VPN etc funktioniert.
ES funktioniert gar keine VPN zur FB - ich baue regelmäßig zu 3 Boxen VPNs auf...keine funktioniert mit der Intel Karte ...die Frage ist nur WIESO!?
148523
148523 25.03.2022 aktualisiert um 11:56:22 Uhr
Goto Top
dass es an der Intel 225 liegt!
Ist nicht zu reproduzieren wenn man die originalen Intel Treiber dafür nutzt von der Intel Webseite und NICHT die Embeddeten ! (Getestet mit Win10, 21H2 und Win11 latest !)
Dabei ist es übrigens auch egal ob man den Shrew VPN Client nutzt oder den von AVM.
Wichtig ist allerdings das nur einer installiert werden darf ! Niemals beide zugleich, denn das führt zu den o.a Effekten. Es darf immer nur ein einziger IPsec IKEv1 VPN Client installiert sein !
alegend
alegend 25.03.2022 aktualisiert um 12:03:18 Uhr
Goto Top
Welche Treiber meinst du? Funktioniert es mit den von dir genannten?
Ich hab downgrade auf vorherigen durchgeführt unter Win 11 Version 1.0.2.14 vom 6/21.
damit geht es auch nicht...
AVM Client hatte ich nie installiert...
148523
148523 25.03.2022 um 12:07:41 Uhr
Goto Top
Die Hardware Treiber die man direkt immer vom Hersteller laden sollte !:
https://www.intel.de/content/www/de/de/download/19351/windows-10-and-win ...

Generell sollte man bei NICs niemals die embeddeten Treiber verwenden sondern immer die des Chipsatz Herstellers direkt.
alegend
alegend 27.03.2022 um 11:35:21 Uhr
Goto Top
...mir geht es aber um LAN driver...ich habe die aktuellsten versucht ohne Erfolg...Wifi geht immer aber lan nicht
148523
148523 27.03.2022 um 12:53:15 Uhr
Goto Top
Wie bereits oben gesagt: Das muss ein spezifischer Konflikt auf deinem Rechner sein.
Läuft hier mit eben dieser LAN Karte mit den 2 aktuellen Win Versionen völlig fehlerfrei !
Ist auch irgendwie klar, denn der IPsec Stack hat nichts mit der NIC Hardware an sich zu tun.
148523
148523 12.05.2022 um 11:52:19 Uhr
Goto Top
Nicht vergessen deinen Thread hier dann auch zu schliessen wenn keine Fragen mehr sind!!
Wie kann ich einen Beitrag als gelöst markieren?
riegeler
riegeler 12.05.2022 um 18:17:42 Uhr
Goto Top
Leider ist es noch nicht gelöst, da weiterhin unklar, ob's am Win11, Intel-Treiber, Intel-LAN-Hardware-Schnittstelle, der Vodafone-Kabel-Box oder dem IPv6 liegt.
Momentan funktioniert der VPN-Zugang mit dem NCP-Client.
Ich schließe den Thread trotzdem, da einige Zeit keine Fragen mehr kamen.
148523
148523 12.05.2022 um 19:02:00 Uhr
Goto Top
Nur das das nochmal klar ist:
  • Es darf außer Shrew keinen weiteren IPsec VPN Client geben. Auch nicht den AVM Fernzugang!
  • Shrew MUSS der einzige IPsec VPN Client bleiben auf dem Windows Rechner
  • Achte auf ggf. vorhandene 3rd Party Security Lösungen. Diese sind meist überflüssig und können den virtuellen Netzwerk Adapter der VPN Software blockieren.
goscho
goscho 13.05.2022 um 06:38:33 Uhr
Goto Top
Moin,

Es darf außer Shrew keinen weiteren IPsec VPN Client geben.
Shrew MUSS der einzige IPsec VPN Client bleiben auf dem Windows Rechner
Das kann ich so nicht mehr bestätigen.
Bei mir laufen sowohl Shrew, als auch der Lancom Advanced VPN CLient auf dem W10 Notebook. Liefen auch auf dem Vorgängergerät.
Ich muss den Lancom CLient nicht mal beenden, nur die Verbindung trennen und kann trotzdem eine mit Shrew aufbauen.

Beim AVM Fernzugang kann es aber stimmen.
riegeler
riegeler 13.05.2022 um 08:07:23 Uhr
Goto Top
Bei mir ebenfalls. Als Win11 frisch installiert war, wurde einzig nur der Shrew-Client installiert und es hat schon nicht geklappt.
Die Tests mit NCP-Client und Fritz-Fernzugang kamen alle erst später.
Auf einem anderen Rechner an anderem Internetanschluss habe ich sämtliche Clients installiert. Alle laufen ausnahmslos tadellos.
Somit kann ich die Vorsichtsmaßnahme in unserem Fall leider nicht nachvollziehen.
148523
148523 13.05.2022 um 09:36:32 Uhr
Goto Top
Das mag im Einzelfall sicher stimmen aber es ist bekannt das sich unter Windows mehrere externe IKEv1 Clients sehr oft gegenseitig blockieren, deshalb gilt die generelle Empfehlung keine mehrfache Client Installation zu nutzen. Es bleibt sonst immer das Risiko einer gegenseitigen negativen Beeinflussung auf Zufallsbasis.
Eigentlich ist eine Mehrfachinstallation ja auch völlig überflüssig, denn was sollte der Sinn sein mehrere IKEv1 Clients an Bord zu haben wenn einer völlig reicht?
Im Endeffekt und auf lange Sicht ist es so oder so besser die VPN Server auf IKEv2 zu migrieren und immer die bordeigenen VPN Clients zu nutzen anstatt 3rd Party.
goscho
goscho 13.05.2022 um 10:44:31 Uhr
Goto Top
Eigentlich ist eine Mehrfachinstallation ja auch völlig überflüssig, denn was sollte der Sinn sein mehrere IKEv1 Clients an Bord zu haben wenn einer völlig reicht?
Ganz einfach:

Wenn ich für einen Kunden, der den kostenlosen Shrew-Client nutzen möchte, eine VPN-Verbindung teste, mache ich das mit meinem Notebook.
Zusätzlich habe ich auch den (teuren) Lancom-VPN-Clienten installiert und konfiguriert. Der kann bspw. auch IKEv2.
PhilipBoone
PhilipBoone 14.06.2022 um 11:13:33 Uhr
Goto Top
@riegeler Es tut mir Leid, dass es so lange gedauert hat, bis ich mich wieder melde. Aber der Person wo das Zusatz Netzwerk Board installiert werden soll, hat nun mal so lange dafür gebraucht.

Habe aber dafür eine sehr gute Nachricht. Das installieren der Zusatz Netzwerkkarte hat das Problem gelöst. Das ist der Beweis für mich dafür, dass es entweder an an das Onboard Karte liegt, oder der Treiber... mir ist es im Prinzip egal... Hauptsache ich habe das Problem gelöst.

Also, Zusatz Netzwerkkarte installieren
Der Onboard Netzwerk Karte im BIOS deaktivieren

Ich müsste nicht mal eine Treiber installieren. Der Standard Windows (10) Treiber hat gereicht.

Danach funktioniert der Client wie es sollte.
alegend
alegend 14.06.2022 um 11:16:27 Uhr
Goto Top
...also genau wie bei mir LOL
Hat gar nichts mit dem PC zu tun oder der Installation da es mit der usb karte einwandfrei läuft!
riegeler
riegeler 14.06.2022 um 11:22:57 Uhr
Goto Top
@PhilipBoone Das ist bei einem Intel NUC leider nicht so einfach. Allenfalls ein USB-Ethernet-Stick/Adapter, aber das ist unschön. Mit einem D-Link USB-Ethernet-Adapter war es zuletzt leider auch nicht erfolgreich (die Fritzbox zeigte keine Verbindung an), siehe Shrew Client VPN Windows 11 zu Fritzbox 6660 negotiation timeout occurred.

Immerhin schön für Dich eine Lösung gefunden zu haben. Wie genau heißt denn die Zusatznetzwerkkarte, die Du eingebaut hast?
PhilipBoone
PhilipBoone 14.06.2022 um 14:08:22 Uhr
Goto Top
Hey @riegeler, ja, da hast du recht... wäre echt unschön.

ja, bin froh es gelöst zu haben.

ich habe einen etwas ältere Broadcom, dual port GBit eingebaut. Es hat den Bezeichnung: BCM-95709A0907G (B)

Wünsche dir noch viel Glück mit dem Lösung finden.