samrein
Goto Top

VPN +Fritzbox ShrewSoft or Lancom

Hallo zusammen,

kleines Problem bei der VPN Einwahl auf eine Fritzbox.

Die Fritzbox kann leider ja nur nur IKEV1. Mir ist bewusst das ich hier mal tätig werden muss und ein Rasperi etc... für eine bessere VPN Lösung einplanen sollte.

Nichtsdestotrotz möchte ich gerne die VPN Einwahl bis dahin noch Aufrecht erhalten.

Notebook, Windows10 > ShrewSoft Einwahl ohne Probleme möglich.
Windows 10 Rechner > Shrew Soft Einwahl nicht möglich

Fehlermeldung:


Beim Versuch es mal mit einem Lancom Client zu connecten seh ich im Log etwas mehr:


Ich habe zum testen beide Rechner direkt an einen DSL Anschluss gehängt, Laptop geht, Rechner nicht. Es liegt also nicht an Firewll oder dergleichen.

Vielleicht ist das jemanden schon mal begegenet...

Grüße
Stefan

Content-Key: 2308173467

Url: https://administrator.de/contentid/2308173467

Ausgedruckt am: 02.10.2022 um 03:10 Uhr

Mitglied: RoadRage3
RoadRage3 28.03.2022 um 11:22:03 Uhr
Goto Top
Updatestand von beiden Systemen gleich? Wie sieht winver.exe aus? Hat der Win 10 Rechner eventuell einen neueren Updatestand und dadurch Komponenten die für IKEV1 benötigt werden nicht mehr eingebaut?
Mitglied: samrein
samrein 28.03.2022 um 11:30:26 Uhr
Goto Top
hi RoadRage3,

haben beide den gleichen Patchstand, Windows 10 Pro Build 19044, letztes Update von März 22

Aber irgendwas blödes in der Richtung muss es sein...
Mitglied: NordicMike
NordicMike 28.03.2022 um 11:37:17 Uhr
Goto Top
Ist es auch die "selbe" DSL Leitung? Nicht, dass eine davon eine kleinere MTU benötigt...
Mitglied: samrein
samrein 28.03.2022 um 12:20:06 Uhr
Goto Top
Hi Mike,
ich hatte es testweise am selben Router angeschlossen...
Mitglied: the-buccaneer
the-buccaneer 28.03.2022 um 13:20:49 Uhr
Goto Top
Moinsen!

Der Shrew bietet sehr gutes Logging. öffne mal das VPN-Trace-utility und definiere den Logging-Level als informational oder debug. (Unter File --> Options)

Das bringt dich der Ursache evtl. näher. Vorher würde ich aber die funktionierende Config vom Laptop auf den Rechner kopieren ("Export"). Wäre nicht das erste mal, dass irgendwo ein kleiner Fehler steckt, den man partout nicht sieht. face-wink
VG
buc
Mitglied: aqui
aqui 28.03.2022 aktualisiert um 13:48:12 Uhr
Goto Top
Das Wichtigste hast du nicht gepostet und das sind die Phase 1 und Phase 2 Settings deines Clients.
Halt edich an das Shrew Setup auf dem Notebook ! Da das funktioniert hast du da ja alles richtig gemacht. Auf dem Winblows Rechner ist das nicht der Fall.
Im Zweifel hilft dir immer die offizielle AVM Doku dazu:
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-mit- ...
Oder alternativ der AVM Client "Fernzugang":
https://avm.de/service/vpn/uebersicht/
Beachte aber dabei das keinesfalls beide externen IKEv1 VPN Clients parallel installiert sein dürfen sondern immer nur einer.

Eine RasPi Anleitung für einen IKEv2 VPN Zugang mit den bordeigenen Windows VPN Client findest du hier:
https://administrator.de/tutorial/ikev2-vpn-server-fuer-windows-und-appl ...
oder für alternative Hardware hier:
https://administrator.de/tutorial/ipsec-vpn-fuer-mobile-benutzer-auf-der ...
Bzw. für den bordeigenen L2TP Client hier:
https://administrator.de/content/detail.php?id=562927&token=111#comm ...
und auch hier:
https://administrator.de/contentid/585307
Mitglied: samrein
samrein 28.03.2022 um 13:58:39 Uhr
Goto Top
Zitat von @the-buccaneer:

Moinsen!

Der Shrew bietet sehr gutes Logging. öffne mal das VPN-Trace-utility und definiere den Logging-Level als informational oder debug. (Unter File --> Options)

Das bringt dich der Ursache evtl. näher. Vorher würde ich aber die funktionierende Config vom Laptop auf den Rechner kopieren ("Export"). Wäre nicht das erste mal, dass irgendwo ein kleiner Fehler steckt, den man partout nicht sieht. face-wink
VG
buc

Hi Buc,

ich habe Config vom nicht funktionierenden Rechner auf dem Laptop importiert. Diese funktioniert dort einwanfrei.
Aber Dein Tip mit dem Log scheint zumindest der Fehlerursache näher zu kommen


Mal sehen ob ich dazu was finde

Grüße
Stefan
Mitglied: samrein
samrein 28.03.2022 um 14:57:26 Uhr
Goto Top
Zitat von @aqui:

Das Wichtigste hast du nicht gepostet und das sind die Phase 1 und Phase 2 Settings deines Clients.
Halt edich an das Shrew Setup auf dem Notebook ! Da das funktioniert hast du da ja alles richtig gemacht. Auf dem Winblows Rechner ist das nicht der Fall.
Im Zweifel hilft dir immer die offizielle AVM Doku dazu:
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-mit- ...
Oder alternativ der AVM Client "Fernzugang":
https://avm.de/service/vpn/uebersicht/
Beachte aber dabei das keinesfalls beide externen IKEv1 VPN Clients parallel installiert sein dürfen sondern immer nur einer.

Eine RasPi Anleitung für einen IKEv2 VPN Zugang mit den bordeigenen Windows VPN Client findest du hier:
https://administrator.de/tutorial/ikev2-vpn-server-fuer-windows-und-appl ...
oder für alternative Hardware hier:
https://administrator.de/tutorial/ipsec-vpn-fuer-mobile-benutzer-auf-der ...
Bzw. für den bordeigenen L2TP Client hier:
https://administrator.de/content/detail.php?id=562927&token=111#comm ...
und auch hier:
https://administrator.de/contentid/585307

Hi Aqui,
besten Dank für die ganzen Links. Werde ich durcharbeiten.

Hier noch die Settings, die sind aber auf Notebook und Rechner identisch.

Grüße
Stefan
2_vpn
1_vpn
Mitglied: aqui
aqui 28.03.2022 aktualisiert um 16:29:31 Uhr
Goto Top
die sind aber auf Notebook und Rechner identisch.
Sind die VPN Client Rechner in unterschiedlichen Netzwerken ??
Die Fehlermeldung "negotiation timout occurred" besagt das der VPN Client die FritzBox nicht erreichen kann. Es findet also keinerlei Aushandlung der IPsec Krypto Parameter (P1/P2) statt was immer ein Indiz dafür ist das der Shrew Client keine Antwort der FritzBox bekommt.
Das kann mehrere Ursachen haben:
  • Zielhost (FritzBox WAN IP oder FQDN) im VPN Client ist falsch eingegeben
  • Lokale Windows Firewall blockt IPsec Protokoll
  • VPN Client ist in einem anderen Netzwerk Segment was IPsec Protokoll blockiert
  • VPN Client hängt an einem Provider Router der IPsec blockiert und das nur für Business Accounts freigibt.
Hast du diese 4 Punkte geklärt ?!
Mitglied: samrein
samrein 28.03.2022 um 16:59:49 Uhr
Goto Top
Hi Aqui,

Der Windows rechner hängt in einem Netzwerk. (Ports sind in der Firewall freigeschaltet)
Das Notebook hängt mal im Firmennetzwerk mal an einem reinem eigenen DSL Anschluss. Den gibts für Testszenarien.

Mit dem Notebook kann ich sowohl über DSL als auch über das Firmennetzwerk einen VPN Tunnel aufbauen.
Beim Rechner klappt beides nicht, ich hatte ihn auch mal vom Firmennetzwerk getrennt und an den DSL Anschluss gepatchtet.
Firewall und sämtliche anderen Security Lösungen hab ich testweise mal ausgeschaltet.

Aber Du hast Recht, die Fritze scheint nicht zu antworten... ich werde nochmals alles durchprüfen...
Mitglied: the-buccaneer
the-buccaneer 28.03.2022 um 22:56:46 Uhr
Goto Top
Loggt eigentlich die FB irgendwas bei der Einwahl? Bin bei den Meldungen unsicher ob die Pakete vom Shrew an die FB nicht ankommen oder die Antwort der FB den Shrew nicht erreicht. Checke das doch mal in der FB. Irgendwas sollte da auch bei der mobilen Einwahl anfallen.
Die Meldungen vor "Resend Phase1 Packet" waren wie?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 28.03.2022 aktualisiert um 23:19:55 Uhr
Goto Top
Zitat von @the-buccaneer:

Loggt eigentlich die FB irgendwas bei der Einwahl?

Ja, aber nur minimal. Geschickter ist es, auf der Fritzbox den Sniffer mitlaufen zu lassen. Da sieht man dann eher, welche Pakete rein und raus gehen.

Siehe http://service.avm.de/help/de/FRITZ-Box-7590/015/hilfe_support unter Punkt Paketmitschnitt erstellen

lks
Mitglied: samrein
samrein 29.03.2022 um 08:51:01 Uhr
Goto Top
Moin zusammen,

so, ich habe das Logging auf der Fritzbox aktiviert.

Weder in den Ereignissen auf der FB noch in den Supportlogs taucht nur annährend die ausgehende IP meines VPN Clients auf. Scheint für mich fast so als würde mein Rechner erst gar keine Verbindung aufbauen können.

In meiner UTM Firewall hab ich die VPN Ports ebenfalls mitgeloggt, also der Rechner sendet Pakte an die Fritzbox.
Die Auflösung des Fritzbox Namen auf die richtige IP funktioniert auch.

Ich werde jetzt nochmal WireShark auf meinem Rechner mitlaufen lassen. Da die Fritzbox mit einem anderen Rechner einwanfrei sich verbinden lässt wird die Ursache vermutlich mein Rechner sein....

Mal sehen... ich werds noch rausfinden, danke für Eure Tips und habt einen guten Start in den Tag

Grüße
Stefan
Mitglied: samrein
samrein 29.03.2022 aktualisiert um 09:02:19 Uhr
Goto Top
Kleine Korrektur,
nachdem ich jetzt Wireshar geprüft habe sehe ich das der ShrewClient keine Verbindung aufbaut zur FB.
Da hab ich mich jetzt in die Irre führen lassen, weil die UTM die DNS Abfrage noch auflöst...!

Werde jetzt mal den Client nochmal deinstallieren... und die Registry aufräumen... wobei das auch sinnfrei ist, der Lancom Client verbindet sich ja auch nicht...
Mitglied: aqui
aqui 29.03.2022 aktualisiert um 09:23:06 Uhr
Goto Top
Genau wie oben schon vermutet. Es kann nur dediziert an diesem Rechner liegen, denn wenn es mit dem Notebook fehlerfrei rennt bestätigt das, das die Netzwerk Infrastruktur selber richtig konfiguriert ist.
Das ist dann de facto Rechner spezifisch...
  • Überflüssiges Malware oder Firewall Tool oder App aktiv die den IPsec Traffic blockt
  • Paralell zwei IKEv1 IPsec VPN Clients installiert was nicht sein darf
  • DNS Auflösung klappt nicht wenn VPN Ziel (FB) als FQDN Name angegeben ist
In die Richtung solltest du mal suchen...
Der Wireshark ist da in der Tat immer eine unbestechliche Hilfe ! face-wink