Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

FritzBox 7270 und TheGreenBow VPN Client

Frage Netzwerke Router & Routing

Mitglied: decoder

decoder (Level 1) - Jetzt verbinden

02.07.2009, aktualisiert 18.10.2012, 12980 Aufrufe, 7 Kommentare

hallo,

möchte über den thegreebow vpn client von unterwegs eine verbindung zur Fritz Box aufbauen.
Bin nun soweit gekommen, dass eine tunnel verbindung zur fritz box aufgebaut wurde. Ein anpingen der anderen Rechner über die IP ist nicht möglich. Bekomme nur eine Zeitüberschreitung.

Meine lokale IP Adresse 192.168.1.66
Die entfernten IP Adressen: Fritz Box 192.168.2.1, PC: 192.168.2.21

Habt Ihr noch einen Tipp? Anbei noch ein paar Screenshots und die config file der fritzbox

error log:
[VPNCONF] TGBIKESTART received
20090702 143807 Default (SA FritzBox-P1) SEND phase 1 Main Mode [SA] [VID] [VID] [VID] [VID] [VID]
20090702 144306 Default IKE daemon is removing SAs...
20090702 144311 Default Reinitializing IKE daemon
20090702 144311 Default IKE daemon reinitialized
20090702 144320 Default (SA Gateway1-P1) SEND phase 1 Aggressive Mode [SA] [KEY_EXCH] [NONCE] [ID] [VID] [VID] [VID] [VID] [VID]
20090702 144320 Default (SA FritzBox-P1) SEND phase 1 Main Mode [SA] [VID] [VID] [VID] [VID] [VID]
20090702 144320 Default (SA Gateway1-P1) RECV phase 1 Aggressive Mode [HASH] [SA] [KEY_EXCH] [NONCE] [ID] [VID] [VID]
20090702 144320 Default (SA Gateway1-P1) SEND phase 1 Aggressive Mode [HASH]
20090702 144320 Default phase 1 done: initiator id djviper@gmx.de, responder id 85.180.235.26
20090702 144320 Default (SA Gateway1-Tunnel1-P2) SEND phase 2 Quick Mode [HASH] [SA] [KEY_EXCH] [NONCE] [ID] [ID]
20090702 144320 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY]
20090702 144321 Default (SA Gateway1-Tunnel1-P2) RECV phase 2 Quick Mode [HASH] [SA] [KEY_EXCH] [NONCE] [ID] [ID]
20090702 144321 Default (SA Gateway1-Tunnel1-P2) SEND phase 2 Quick Mode [HASH]
20090702 144350 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144350 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144420 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144420 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144450 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144450 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144520 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144520 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144550 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144550 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144620 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144620 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144650 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144650 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK
20090702 144720 Default (SA Gateway1-P1) SEND Informational [HASH] [NOTIFY] type DPD_R_U_THERE
20090702 144720 Default (SA Gateway1-P1) RECV Informational [HASH] [NOTIFY] type DPD_R_U_THERE_ACK


Fritz Box Config File:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "djviper@gmx.de";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.2.201;
remoteid {
user_fqdn = "djviper@gmx.de";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "1234567890";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.2.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipaddr = 192.168.2.201;
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist =
"permit ip 192.168.2.0 255.255.255.0 192.168.2.201 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF


Software Screenshots:
833625c10ea44cf1e32b41e7080ecaab-1 - Klicke auf das Bild, um es zu vergrößern
b889278ae3918a05f0eeb856a58050fb-2 - Klicke auf das Bild, um es zu vergrößern
2c6077d89ab14cd74fbb71299a535be4-3 - Klicke auf das Bild, um es zu vergrößern
Mitglied: aqui
02.07.2009 um 18:38 Uhr
Wenn dein Client hinter einem NAT Router liegt musst du diesem vorher eine Port Weiterleitung auf den Client PC einrichten mit
UDP 500
UDP 4500
ESP Protokoll mit der IP Protokoll Nummer 50
Ferner muss der Router das VPN Passthrough Feature supporten !

Leider schreibst du nicht ob du das gemacht hast
Die lokale ID solltest du auf die IP Adresse setzen und NICHT auf Email oder sowas !!
Was sagt denn ein ipconfig -all bekommst du auf dem VPN Adapter sauber eine IP aus dem remoten Netz ???

Ansonsten sieh dir die Beispielkonfigs der VPN Cllinets auf der AVM Seite:

http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...

unter "Tipps & Tricks für Verbindungen zu anderen Herstellern" an !!
Die Einstellungen sind bei den freien Clients immer dieselben !!! Egal ob Shrew, Greenbow oder GateProtect oder was auch immer...
Dort findest du auch entsprechende fritzbox.cfg Dateien als Beispiel....
Bitte warten ..
Mitglied: decoder
03.07.2009 um 00:43 Uhr
danke für deine antwort. hab mich mit der cfg datei genau nach der avm anleitung gehalten. mit den ip adressen und email adressen müsste soweit alles richtig sein.

zum testen wegen der client firewall hab ich mich mit der umts sim karte ins net eingewählt. aber auch hier kein pingen möglich

http://img200.imageshack.us/img200/5518/43652335.jpg
Bitte warten ..
Mitglied: aqui
03.07.2009, aktualisiert 18.10.2012
Was soll immer das externe Einbinden von Grafiken ??? Administrator.de bietet die auch diese Möglichkeit und ist fürs Forum einfacher als immer das Klicken auf externe Links !!! (Originalthread auf Bearbeiten, Bild hochladen wie du es oben ja schon gemacht hast !!!, URL cutn pasten in die Antwort...so einfach ist das !!!)

Zurück zu deinem Problem:
Bei einer UMTS Karte ist zwindend DAS hier zu beachten:

http://www.administrator.de/forum/vpn-per-umts-karte-tunnel-steht-aber- ...

Hast du also ein RFC 1918 Netz im UMTS geht eine VPN Verbindung per se schon mal gar nicht !!

Anhand deines Screenshots oben kannst du sehen das du gar keine IP Adresse auf dem VPN Interface hast...da klappt also gar nichts !!
Ganz an die Anleitung hast du dich nicht gehalten, denn AVM benutzt die lokale IP als Identifier und NICHT eine email Adresse. Das ist auch mehr als sinnvoll da viele VPN Clients nur die IP akzeptieren und nicht die möglichkeit einer separaten ID bieten. Bei solch einer Kombination kommt kein SA zustande wie auch bei dir !
Deshalb besser die IP verwenden, siehe .cfg Beispieldatei bei Shrew oder IPsecuritas auf der AVM Seite !
Bitte warten ..
Mitglied: decoder
04.07.2009 um 11:12 Uhr
sorry wegen den pics. werd das nun nur noch hier uppen.

bin nun so vorgegangen.
freigaben wie du es in deinem ersten post geschrieben hast wurden eingerichtet:
d0fa00335fc50097bbc055b8afdf2ec4-1 - Klicke auf das Bild, um es zu vergrößern

danach hab ich die beispiel cfg von der fritz ipsecuritas anleitung kopiert. die Felder mit Email, IPs und Key geändert und nochmal in die fritz box eingespielt.
Beispiel Config: http://www.avm.de/de/Service/FAQs/FAQ_Sammlung/images/FRITZBox_IPSecuri ...

Und hier meine angepasste config:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "djviper@gmx.de";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.2.201;
remoteid {
user_fqdn = "djviper@gmx.de";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "1234567890";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.2.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipaddr = 192.168.2.201;
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist =
"permit ip 192.168.2.0 255.255.255.0 192.168.2.201 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF



ping und zugriff auf die 192.168.2.1 funktioniert nach der hergestellten vpn verbindung leider noch nicht
hoffe du hast noch einen tipp was ich falsch gemacht habe?!
Bitte warten ..
Mitglied: aqui
05.07.2009 um 12:03 Uhr
Nur nochmal zur Klarstellung:

Die Fritzbox zu der du die VPN Connection aufbaust darf NICHT diese o.a. Port Forwardings eingetragen haben !!!!

Die Portforwardings müssen ausschliesslich nur auf der Clientseite eingestellt werden ! Niemals aber auf der VPN Serverseite also auf der Einwahlseite wo das lokale Netz 192.168.2.0 /24 vorhanden ist !!

Kann es sein das der Greenbow Client NAT Traversal macht ?? Wenn ja musst du unbedingt den Paramter:
use_nat_t = yes;

auf YES setzen !

Ansonsten hilft nur noch ein Troubleshooting der Logs sowohl auf Client als auch auf Serverseite !!
Oder.... das du mal einen Client wie den Shrew Client nimmst der ja auch offiziell von AVM beschrieben ist !!!
Bitte warten ..
Mitglied: decoder
05.07.2009 um 23:25 Uhr
hallo aqui,

jep die portfreigaben wurden auf der client fritz box eingerichtet. nicht auf der entfernten fritz box.

mit use_nat_t auf yes hab ich getestet. bekomm damit aber nicht den tunnel geöffnet und gar keine verbindung aufgebaut

der kostenlose shrew client wär mir eigentlich auch am liebsten. nur da hängt er noch viel früher als mit dem thegreenbow vpn client. hab von shrew die beta und alpha version installiert. bei beiden erhalte ich diese Fehlermeldung (bin genau nach avm anleitung mehrmals vorgegangen):


configuring client settings ...
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
ipcomp proposal configured
client configured
local id configured
pre-shared key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon ...

kannst du mit dieser meldung was anfangen? negotiation timout occurred

gruß
decoder
Bitte warten ..
Mitglied: aqui
06.07.2009, aktualisiert 18.10.2012
Da hast du dann aber ein generelles Problem !!
Wie war das mit dem UMTS Zugang ???

Du hast nicht gepostet ob du da einen RFC 1918 IP Adresse bekommst oder eine öffentliche ???
http://www.administrator.de/forum/vpn-per-umts-karte-tunnel-steht-aber- ...

Oder testest du das erstmal ohne UMTS aus ??
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Mikrotik als VPN-Client hinter Fritzbox zu Fritzbox (5)

Frage von PharIT zum Thema LAN, WAN, Wireless ...

Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

LAN, WAN, Wireless
gelöst Windows 7 IP-Sec VPN Client Alternative (4)

Frage von mario87 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Script bei starten einer VPN Verbindung mit Checkpoint-VPN Client (2)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...