VPN +Fritzbox ShrewSoft or Lancom
Hallo zusammen,
kleines Problem bei der VPN Einwahl auf eine Fritzbox.
Die Fritzbox kann leider ja nur nur IKEV1. Mir ist bewusst das ich hier mal tätig werden muss und ein Rasperi etc... für eine bessere VPN Lösung einplanen sollte.
Nichtsdestotrotz möchte ich gerne die VPN Einwahl bis dahin noch Aufrecht erhalten.
Notebook, Windows10 > ShrewSoft Einwahl ohne Probleme möglich.
Windows 10 Rechner > Shrew Soft Einwahl nicht möglich
Fehlermeldung:
Beim Versuch es mal mit einem Lancom Client zu connecten seh ich im Log etwas mehr:
Ich habe zum testen beide Rechner direkt an einen DSL Anschluss gehängt, Laptop geht, Rechner nicht. Es liegt also nicht an Firewll oder dergleichen.
Vielleicht ist das jemanden schon mal begegenet...
Grüße
Stefan
kleines Problem bei der VPN Einwahl auf eine Fritzbox.
Die Fritzbox kann leider ja nur nur IKEV1. Mir ist bewusst das ich hier mal tätig werden muss und ein Rasperi etc... für eine bessere VPN Lösung einplanen sollte.
Nichtsdestotrotz möchte ich gerne die VPN Einwahl bis dahin noch Aufrecht erhalten.
Notebook, Windows10 > ShrewSoft Einwahl ohne Probleme möglich.
Windows 10 Rechner > Shrew Soft Einwahl nicht möglich
Fehlermeldung:
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon
Beim Versuch es mal mit einem Lancom Client zu connecten seh ich im Log etwas mehr:
28.03.2022 11:07:36 - Ike: phase1:name(xxx) - ERROR - Delete indication received
28.03.2022 11:07:36 - IkeQuick: phase2:name(xxx) - error - cleared by phase1
28.03.2022 11:07:36 - ERROR - 4037: IKE(phase2):Waiting for message2, cleared by phase1 - xxx.
Ich habe zum testen beide Rechner direkt an einen DSL Anschluss gehängt, Laptop geht, Rechner nicht. Es liegt also nicht an Firewll oder dergleichen.
Vielleicht ist das jemanden schon mal begegenet...
Grüße
Stefan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2308173467
Url: https://administrator.de/forum/vpn-fritzbox-shrewsoft-or-lancom-2308173467.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
15 Kommentare
Neuester Kommentar
Moinsen!
Der Shrew bietet sehr gutes Logging. öffne mal das VPN-Trace-utility und definiere den Logging-Level als informational oder debug. (Unter File --> Options)
Das bringt dich der Ursache evtl. näher. Vorher würde ich aber die funktionierende Config vom Laptop auf den Rechner kopieren ("Export"). Wäre nicht das erste mal, dass irgendwo ein kleiner Fehler steckt, den man partout nicht sieht.
VG
buc
Der Shrew bietet sehr gutes Logging. öffne mal das VPN-Trace-utility und definiere den Logging-Level als informational oder debug. (Unter File --> Options)
Das bringt dich der Ursache evtl. näher. Vorher würde ich aber die funktionierende Config vom Laptop auf den Rechner kopieren ("Export"). Wäre nicht das erste mal, dass irgendwo ein kleiner Fehler steckt, den man partout nicht sieht.
VG
buc
Das Wichtigste hast du nicht gepostet und das sind die Phase 1 und Phase 2 Settings deines Clients.
Halt edich an das Shrew Setup auf dem Notebook ! Da das funktioniert hast du da ja alles richtig gemacht. Auf dem Winblows Rechner ist das nicht der Fall.
Im Zweifel hilft dir immer die offizielle AVM Doku dazu:
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-mit- ...
Oder alternativ der AVM Client "Fernzugang":
https://avm.de/service/vpn/uebersicht/
Beachte aber dabei das keinesfalls beide externen IKEv1 VPN Clients parallel installiert sein dürfen sondern immer nur einer.
Eine RasPi Anleitung für einen IKEv2 VPN Zugang mit den bordeigenen Windows VPN Client findest du hier:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
oder für alternative Hardware hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Bzw. für den bordeigenen L2TP Client hier:
Scheitern am IPsec VPN mit MikroTik
und auch hier:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Halt edich an das Shrew Setup auf dem Notebook ! Da das funktioniert hast du da ja alles richtig gemacht. Auf dem Winblows Rechner ist das nicht der Fall.
Im Zweifel hilft dir immer die offizielle AVM Doku dazu:
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-mit- ...
Oder alternativ der AVM Client "Fernzugang":
https://avm.de/service/vpn/uebersicht/
Beachte aber dabei das keinesfalls beide externen IKEv1 VPN Clients parallel installiert sein dürfen sondern immer nur einer.
Eine RasPi Anleitung für einen IKEv2 VPN Zugang mit den bordeigenen Windows VPN Client findest du hier:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
oder für alternative Hardware hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Bzw. für den bordeigenen L2TP Client hier:
Scheitern am IPsec VPN mit MikroTik
und auch hier:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
die sind aber auf Notebook und Rechner identisch.
Sind die VPN Client Rechner in unterschiedlichen Netzwerken ??Die Fehlermeldung "negotiation timout occurred" besagt das der VPN Client die FritzBox nicht erreichen kann. Es findet also keinerlei Aushandlung der IPsec Krypto Parameter (P1/P2) statt was immer ein Indiz dafür ist das der Shrew Client keine Antwort der FritzBox bekommt.
Das kann mehrere Ursachen haben:
- Zielhost (FritzBox WAN IP oder FQDN) im VPN Client ist falsch eingegeben
- Lokale Windows Firewall blockt IPsec Protokoll
- VPN Client ist in einem anderen Netzwerk Segment was IPsec Protokoll blockiert
- VPN Client hängt an einem Provider Router der IPsec blockiert und das nur für Business Accounts freigibt.
Loggt eigentlich die FB irgendwas bei der Einwahl? Bin bei den Meldungen unsicher ob die Pakete vom Shrew an die FB nicht ankommen oder die Antwort der FB den Shrew nicht erreicht. Checke das doch mal in der FB. Irgendwas sollte da auch bei der mobilen Einwahl anfallen.
Die Meldungen vor "Resend Phase1 Packet" waren wie?
Die Meldungen vor "Resend Phase1 Packet" waren wie?
Ja, aber nur minimal. Geschickter ist es, auf der Fritzbox den Sniffer mitlaufen zu lassen. Da sieht man dann eher, welche Pakete rein und raus gehen.
Siehe http://service.avm.de/help/de/FRITZ-Box-7590/015/hilfe_support unter Punkt Paketmitschnitt erstellen
lks
Genau wie oben schon vermutet. Es kann nur dediziert an diesem Rechner liegen, denn wenn es mit dem Notebook fehlerfrei rennt bestätigt das, das die Netzwerk Infrastruktur selber richtig konfiguriert ist.
Das ist dann de facto Rechner spezifisch...
Der Wireshark ist da in der Tat immer eine unbestechliche Hilfe !
Das ist dann de facto Rechner spezifisch...
- Überflüssiges Malware oder Firewall Tool oder App aktiv die den IPsec Traffic blockt
- Paralell zwei IKEv1 IPsec VPN Clients installiert was nicht sein darf
- DNS Auflösung klappt nicht wenn VPN Ziel (FB) als FQDN Name angegeben ist
Der Wireshark ist da in der Tat immer eine unbestechliche Hilfe !