samrein
Goto Top

VPN +Fritzbox ShrewSoft or Lancom

Hallo zusammen,

kleines Problem bei der VPN Einwahl auf eine Fritzbox.

Die Fritzbox kann leider ja nur nur IKEV1. Mir ist bewusst das ich hier mal tätig werden muss und ein Rasperi etc... für eine bessere VPN Lösung einplanen sollte.

Nichtsdestotrotz möchte ich gerne die VPN Einwahl bis dahin noch Aufrecht erhalten.

Notebook, Windows10 > ShrewSoft Einwahl ohne Probleme möglich.
Windows 10 Rechner > Shrew Soft Einwahl nicht möglich

Fehlermeldung:

attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon

Beim Versuch es mal mit einem Lancom Client zu connecten seh ich im Log etwas mehr:

28.03.2022 11:07:36 - Ike: phase1:name(xxx) - ERROR - Delete indication received
28.03.2022 11:07:36 - IkeQuick: phase2:name(xxx) - error - cleared by phase1
28.03.2022 11:07:36 - ERROR - 4037: IKE(phase2):Waiting for message2, cleared by phase1 - xxx.

Ich habe zum testen beide Rechner direkt an einen DSL Anschluss gehängt, Laptop geht, Rechner nicht. Es liegt also nicht an Firewll oder dergleichen.

Vielleicht ist das jemanden schon mal begegenet...

Grüße
Stefan

Content-Key: 2308173467

Url: https://administrator.de/contentid/2308173467

Printed on: June 25, 2024 at 21:06 o'clock

Member: RoadRage3
RoadRage3 Mar 28, 2022 at 09:22:03 (UTC)
Goto Top
Updatestand von beiden Systemen gleich? Wie sieht winver.exe aus? Hat der Win 10 Rechner eventuell einen neueren Updatestand und dadurch Komponenten die für IKEV1 benötigt werden nicht mehr eingebaut?
Member: samrein
samrein Mar 28, 2022 at 09:30:26 (UTC)
Goto Top
hi RoadRage3,

haben beide den gleichen Patchstand, Windows 10 Pro Build 19044, letztes Update von März 22

Aber irgendwas blödes in der Richtung muss es sein...
Member: NordicMike
NordicMike Mar 28, 2022 at 09:37:17 (UTC)
Goto Top
Ist es auch die "selbe" DSL Leitung? Nicht, dass eine davon eine kleinere MTU benötigt...
Member: samrein
samrein Mar 28, 2022 at 10:20:06 (UTC)
Goto Top
Hi Mike,
ich hatte es testweise am selben Router angeschlossen...
Member: the-buccaneer
the-buccaneer Mar 28, 2022 at 11:20:49 (UTC)
Goto Top
Moinsen!

Der Shrew bietet sehr gutes Logging. öffne mal das VPN-Trace-utility und definiere den Logging-Level als informational oder debug. (Unter File --> Options)

Das bringt dich der Ursache evtl. näher. Vorher würde ich aber die funktionierende Config vom Laptop auf den Rechner kopieren ("Export"). Wäre nicht das erste mal, dass irgendwo ein kleiner Fehler steckt, den man partout nicht sieht. face-wink
VG
buc
Member: aqui
aqui Mar 28, 2022 updated at 11:48:12 (UTC)
Goto Top
Das Wichtigste hast du nicht gepostet und das sind die Phase 1 und Phase 2 Settings deines Clients.
Halt edich an das Shrew Setup auf dem Notebook ! Da das funktioniert hast du da ja alles richtig gemacht. Auf dem Winblows Rechner ist das nicht der Fall.
Im Zweifel hilft dir immer die offizielle AVM Doku dazu:
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-mit- ...
Oder alternativ der AVM Client "Fernzugang":
https://avm.de/service/vpn/uebersicht/
Beachte aber dabei das keinesfalls beide externen IKEv1 VPN Clients parallel installiert sein dürfen sondern immer nur einer.

Eine RasPi Anleitung für einen IKEv2 VPN Zugang mit den bordeigenen Windows VPN Client findest du hier:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
oder für alternative Hardware hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Bzw. für den bordeigenen L2TP Client hier:
Scheitern am IPsec VPN mit MikroTik
und auch hier:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Member: samrein
samrein Mar 28, 2022 at 11:58:39 (UTC)
Goto Top
Zitat von @the-buccaneer:

Moinsen!

Der Shrew bietet sehr gutes Logging. öffne mal das VPN-Trace-utility und definiere den Logging-Level als informational oder debug. (Unter File --> Options)

Das bringt dich der Ursache evtl. näher. Vorher würde ich aber die funktionierende Config vom Laptop auf den Rechner kopieren ("Export"). Wäre nicht das erste mal, dass irgendwo ein kleiner Fehler steckt, den man partout nicht sieht. face-wink
VG
buc

Hi Buc,

ich habe Config vom nicht funktionierenden Rechner auf dem Laptop importiert. Diese funktioniert dort einwanfrei.
Aber Dein Tip mit dem Log scheint zumindest der Fehlerursache näher zu kommen

22/03/28 13:51:59 -> : resend 1 phase1 packet(s) [0/2] 192.168.27.77:500 -> xxx.xxx.xxx.xxx:500
22/03/28 13:52:04 -> : resend 1 phase1 packet(s) [1/2] 192.168.27.77:500 -> xxx.xxx.xxx.xxx:500
22/03/28 13:52:09 -> : resend 1 phase1 packet(s) [2/2] 192.168.27.77:500 -> xxx.xxx.xxx.xxx:500
**22/03/28 13:52:14 ii : resend limit exceeded for phase1 exchange
22/03/28 13:52:14 ii : phase1 removal before expire time**
22/03/28 13:52:14 DB : removing tunnel config references
22/03/28 13:52:14 DB : removing tunnel phase2 references
22/03/28 13:52:14 DB : removing tunnel phase1 references
22/03/28 13:52:14 DB : removing all peer tunnel references
22/03/28 13:52:14 ii : ipc client process thread exit ...

Mal sehen ob ich dazu was finde

Grüße
Stefan
Member: samrein
samrein Mar 28, 2022 at 12:57:26 (UTC)
Goto Top
Zitat von @aqui:

Das Wichtigste hast du nicht gepostet und das sind die Phase 1 und Phase 2 Settings deines Clients.
Halt edich an das Shrew Setup auf dem Notebook ! Da das funktioniert hast du da ja alles richtig gemacht. Auf dem Winblows Rechner ist das nicht der Fall.
Im Zweifel hilft dir immer die offizielle AVM Doku dazu:
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-mit- ...
Oder alternativ der AVM Client "Fernzugang":
https://avm.de/service/vpn/uebersicht/
Beachte aber dabei das keinesfalls beide externen IKEv1 VPN Clients parallel installiert sein dürfen sondern immer nur einer.

Eine RasPi Anleitung für einen IKEv2 VPN Zugang mit den bordeigenen Windows VPN Client findest du hier:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
oder für alternative Hardware hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Bzw. für den bordeigenen L2TP Client hier:
Scheitern am IPsec VPN mit MikroTik
und auch hier:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer

Hi Aqui,
besten Dank für die ganzen Links. Werde ich durcharbeiten.

Hier noch die Settings, die sind aber auf Notebook und Rechner identisch.

Grüße
Stefan
2_vpn
1_vpn
Member: aqui
aqui Mar 28, 2022 updated at 14:29:31 (UTC)
Goto Top
die sind aber auf Notebook und Rechner identisch.
Sind die VPN Client Rechner in unterschiedlichen Netzwerken ??
Die Fehlermeldung "negotiation timout occurred" besagt das der VPN Client die FritzBox nicht erreichen kann. Es findet also keinerlei Aushandlung der IPsec Krypto Parameter (P1/P2) statt was immer ein Indiz dafür ist das der Shrew Client keine Antwort der FritzBox bekommt.
Das kann mehrere Ursachen haben:
  • Zielhost (FritzBox WAN IP oder FQDN) im VPN Client ist falsch eingegeben
  • Lokale Windows Firewall blockt IPsec Protokoll
  • VPN Client ist in einem anderen Netzwerk Segment was IPsec Protokoll blockiert
  • VPN Client hängt an einem Provider Router der IPsec blockiert und das nur für Business Accounts freigibt.
Hast du diese 4 Punkte geklärt ?!
Member: samrein
samrein Mar 28, 2022 at 14:59:49 (UTC)
Goto Top
Hi Aqui,

Der Windows rechner hängt in einem Netzwerk. (Ports sind in der Firewall freigeschaltet)
Das Notebook hängt mal im Firmennetzwerk mal an einem reinem eigenen DSL Anschluss. Den gibts für Testszenarien.

Mit dem Notebook kann ich sowohl über DSL als auch über das Firmennetzwerk einen VPN Tunnel aufbauen.
Beim Rechner klappt beides nicht, ich hatte ihn auch mal vom Firmennetzwerk getrennt und an den DSL Anschluss gepatchtet.
Firewall und sämtliche anderen Security Lösungen hab ich testweise mal ausgeschaltet.

Aber Du hast Recht, die Fritze scheint nicht zu antworten... ich werde nochmals alles durchprüfen...
Member: the-buccaneer
the-buccaneer Mar 28, 2022 at 20:56:46 (UTC)
Goto Top
Loggt eigentlich die FB irgendwas bei der Einwahl? Bin bei den Meldungen unsicher ob die Pakete vom Shrew an die FB nicht ankommen oder die Antwort der FB den Shrew nicht erreicht. Checke das doch mal in der FB. Irgendwas sollte da auch bei der mobilen Einwahl anfallen.
Die Meldungen vor "Resend Phase1 Packet" waren wie?
Member: Lochkartenstanzer
Lochkartenstanzer Mar 28, 2022 updated at 21:19:55 (UTC)
Goto Top
Zitat von @the-buccaneer:

Loggt eigentlich die FB irgendwas bei der Einwahl?

Ja, aber nur minimal. Geschickter ist es, auf der Fritzbox den Sniffer mitlaufen zu lassen. Da sieht man dann eher, welche Pakete rein und raus gehen.

Siehe http://service.avm.de/help/de/FRITZ-Box-7590/015/hilfe_support unter Punkt Paketmitschnitt erstellen

lks
Member: samrein
samrein Mar 29, 2022 at 06:51:01 (UTC)
Goto Top
Moin zusammen,

so, ich habe das Logging auf der Fritzbox aktiviert.

Weder in den Ereignissen auf der FB noch in den Supportlogs taucht nur annährend die ausgehende IP meines VPN Clients auf. Scheint für mich fast so als würde mein Rechner erst gar keine Verbindung aufbauen können.

In meiner UTM Firewall hab ich die VPN Ports ebenfalls mitgeloggt, also der Rechner sendet Pakte an die Fritzbox.
Die Auflösung des Fritzbox Namen auf die richtige IP funktioniert auch.

Ich werde jetzt nochmal WireShark auf meinem Rechner mitlaufen lassen. Da die Fritzbox mit einem anderen Rechner einwanfrei sich verbinden lässt wird die Ursache vermutlich mein Rechner sein....

Mal sehen... ich werds noch rausfinden, danke für Eure Tips und habt einen guten Start in den Tag

Grüße
Stefan
Member: samrein
samrein Mar 29, 2022 updated at 07:02:19 (UTC)
Goto Top
Kleine Korrektur,
nachdem ich jetzt Wireshar geprüft habe sehe ich das der ShrewClient keine Verbindung aufbaut zur FB.
Da hab ich mich jetzt in die Irre führen lassen, weil die UTM die DNS Abfrage noch auflöst...!

Werde jetzt mal den Client nochmal deinstallieren... und die Registry aufräumen... wobei das auch sinnfrei ist, der Lancom Client verbindet sich ja auch nicht...
Member: aqui
aqui Mar 29, 2022 updated at 07:23:06 (UTC)
Goto Top
Genau wie oben schon vermutet. Es kann nur dediziert an diesem Rechner liegen, denn wenn es mit dem Notebook fehlerfrei rennt bestätigt das, das die Netzwerk Infrastruktur selber richtig konfiguriert ist.
Das ist dann de facto Rechner spezifisch...
  • Überflüssiges Malware oder Firewall Tool oder App aktiv die den IPsec Traffic blockt
  • Paralell zwei IKEv1 IPsec VPN Clients installiert was nicht sein darf
  • DNS Auflösung klappt nicht wenn VPN Ziel (FB) als FQDN Name angegeben ist
In die Richtung solltest du mal suchen...
Der Wireshark ist da in der Tat immer eine unbestechliche Hilfe ! face-wink