- √ - Frage zu HS Zugriff über VPN

shaolinmaster antwortet

20.06.2011, 13:57
Gelöst!!

Hi

Mann.... da muss man erstmal drauf kommen. Aber stand ja eigentlich im LOG drin. Manchmal ist man eben blind!
Nachdem ich im NCP das Dead Peer ausgeschaltet habe, funktioniert alles wie es sein soll. 1000 Dank für die Hilfe!

THomas
Einen Kommentar schreiben:
Gaston antwortet

20.06.2011, 13:19
Zitat von EIB1NOOB Beitrag anzeigen

das AVM keine Dead Peer Detection kann... wenn´s tatsächlich so ist wäre das eine Erklärung. Bei NCP mal checken ob man das deaktivieren kann???

Jo, ist zwar der Hammer dass die FB das nicht kann, aber Ich denke der "Noob" hats getroffen.

Gruss,
Gaston
Einen Kommentar schreiben:
EIB1NOOB antwortet

20.06.2011, 11:50
Hier...

Collax User Forum • Thema anzeigen - [Gelöst] CSG und Fritz!Box 7270 VPN Netz zu Netz

steht , das AVM keine Dead Peer Detection kann... wenn´s tatsächlich so ist wäre das eine Erklärung. Bei NCP mal checken ob man das deaktivieren kann???

Gruß.

Der Noob.
Einen Kommentar schreiben:
shaolinmaster antwortet

20.06.2011, 11:14
Moin

Hier mal das cfg das ich auf die Fritzbox geschobenhabe. Alles genau so gemacht wie in der Anleitung von AVM zum NCP einrichten.

/*
* C:\Users\thomas\AppData\Roaming\AVM\FRITZ!Fernzuga ng\xxxxxxx_dyndns_org\fritzbox_xxxxxxx_dyndns_org. cfg
* Mon Jun 20 11:59:12 2011
*/
vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "xxxxxxx@xxxx.de";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.1.222;
remoteid {
user_fqdn = "xxxxx@xxxxxx.de";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xxxxxxxxxxxxxxxxxx";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.1.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipaddr = 192.168.1.222;
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist =
"permit ip 192.168.1.0 255.255.255.0 192.168.1.222 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF
Einen Kommentar schreiben:
Gaston antwortet

20.06.2011, 08:43
Kennst Du die Anleitung ? AVM - VPN-Verbindung mit NCP Secure Entry Client zur FRITZ!Box (Client-LAN-Kopplung)

Kannst Du mal deine FritzBox VPN config posten ?
Einen Kommentar schreiben:
Gaston antwortet

20.06.2011, 08:33
Zitat von shaolinmaster Beitrag anzeigen

Hi

In der Fritzbox 7390 steht nur im Systemprotokoll:

VPN-Verbindung zu xxxxxxxxx wurde getrennt. Ursache: 3 IKE server

Also ich kenn mich mit der Fritzbox nicht aus, aber steht da kein anderer IKE Fehler davor ?
Sieht so aus als würde es beim erneuern der Schlüssel zu Problemen kommen.

Gruss,
Gaston
Einen Kommentar schreiben:
shaolinmaster antwortet

19.06.2011, 20:57
Das VPN-Profil im NCP neu einrichten hat leider das gleiche Resultat gebracht. Jetzt weiss ich nicht weiter :-(

Thomas
Einen Kommentar schreiben:
shaolinmaster antwortet

19.06.2011, 20:46
Hi

In der Fritzbox 7390 steht nur im Systemprotokoll:

VPN-Verbindung zu xxxxxxxxx wurde getrennt. Ursache: 3 IKE server

Vielleicht muss ich mal den NCP neu aufsetzen und die Verbindung neu erstellen....

Thomas
Einen Kommentar schreiben:
Gaston antwortet

19.06.2011, 20:38
Zitat von shaolinmaster Beitrag anzeigen

Wenn ich das richtig deute, schickt der NCP ein Notify in erwartung auf Antwort. Nach 3x bricht er dann den Tunnel ab.
Was kann da schief laufen?

Das duetest Du richtig. DPD bedeutet "Dead Peer Detection". Da die "andere Seite" nicht mehr antwortet müsste man sich das Log von dor mal ansehen.
Einen Kommentar schreiben:
shaolinmaster antwortet

19.06.2011, 20:24
Hallo Gaston
iETS geht jetzt. Der Experte kann auch connecten und QC geht auch.(ich hatte vergessen als IP die originale HS-IP einzugeben und nicht die vorher getestete dyndns-ip. ABER:
Das VPN bricht immer nach ca. 1,5min zusammen. Hier mal das LOG vom NCP-CLient. Wenn ich das richtig deute, schickt der NCP ein Notify in erwartung auf Antwort. Nach 3x bricht er dann den Tunnel ab.
Was kann da schief laufen?

THomas

19.06.2011 21:14:20 IPSec: Start building connection
19.06.2011 21:14:20 IPSec: DNSREQ: resolving dnserver over lan: xxxxxxx.dyndns.org
19.06.2011 21:14:20 IPSec: DNSREQ: resolved ipadr: xxx.xxx.xxx.xxx
19.06.2011 21:14:20 Ike: Outgoing connect request AGGRESSIVE mode - gateway=xxx.xxx.xxx.xxx: VPN-HS
19.06.2011 21:14:20 Ike: XMIT_MSG1_AGGRESSIVE - VPN-HS
19.06.2011 21:14:20 Ike: NOTIFY : VPN-HS : RECEIVED : NOTIFY_MSG_S_RESPONDER_LIFETIME : 24576
19.06.2011 21:14:20 Ike: RECV_MSG2_AGGRESSIVE - VPN-HS
19.06.2011 21:14:20 Ike: IKE phase I: Setting LifeTime to 3600 seconds
19.06.2011 21:14:20 Ike: IkeSa negotiated with the following properties -
19.06.2011 21:14:20 IPSec: Final Tunnel EndPoint is:xxx.xxx.xxx.xxx
19.06.2011 21:14:20 Authentication=PRE_SHARED_KEY,Encryption=AES,Hash= SHA,DHGroup=2,KeyLen=256
19.06.2011 21:14:20 Ike: VPN-HS ->Support for NAT-T version - 3
19.06.2011 21:14:20 Ike: Turning on NATD mode - VPN-HS - 3
19.06.2011 21:14:20 Ike: XMIT_MSG3_AGGRESSIVE - VPN-HS
19.06.2011 21:14:20 Ike: IkeSa negotiated with the following properties -
19.06.2011 21:14:20 Authentication=PRE_SHARED_KEY,Encryption=AES,Hash= SHA,DHGroup=2,KeyLen=256
19.06.2011 21:14:20 Ike: Turning on DPD mode - VPN-HS
19.06.2011 21:14:20 Ike: phase1:name(VPN-HS) - connected
19.06.2011 21:14:20 SUCCESS: IKE phase 1 ready
19.06.2011 21:14:20 IPSec: Phase1 is Ready - IkeIndex=4,AltRekey=0
19.06.2011 21:14:20 IPSec: Quick Mode is Ready: IkeIndex = 00000004 , VpnSrcPort = 4500
19.06.2011 21:14:20 IPSec: Assigned IP Address: 192.168.1.222
19.06.2011 21:14:21 IkeQuick: XMIT_MSG1_QUICK - VPN-HS
19.06.2011 21:14:21 IkeQuick: Received Notify(VPN-HS) -> remote is reducing LifeTime to 3600
19.06.2011 21:14:21 IkeQuick: RECV_MSG2_QUICK - VPN-HS
19.06.2011 21:14:21 IkeQuick: Turning on PFS mode(VPN-HS) with group 2
19.06.2011 21:14:21 IkeQuick: XMIT_MSG3_QUICK - VPN-HS
19.06.2011 21:14:21 IkeQuick: phase2:name(VPN-HS) - connected
19.06.2011 21:14:21 SUCCESS: Ike phase 2 (quick mode) ready
19.06.2011 21:14:21 IPSec: Created an IPSEC SA with the following characteristics -
19.06.2011 21:14:21 IpSrcRange=[192.168.1.222-192.168.1.222],IpDstRange=[192.168.1.0-192.168.1.255],IpProt=0,SrcPort=0,DstPort=0
19.06.2011 21:14:21 IPSec: connected: LifeDuration in Seconds = 2520 and in KiloBytes = 0
19.06.2011 21:14:21 IPSec: Connected to VPN-HS on channel 1.
19.06.2011 21:14:21 PPP(Ipcp): connected to VPN-HS with IP Address: 192.168.001.222. : 192.168.001.223.
19.06.2011 21:14:21 SUCCESS: IpSec connection ready
19.06.2011 21:14:24 SUCCESS: Link -> <VPN-HS> IP address assigned to IP stack - link is operational.
19.06.2011 21:14:45 Ike: NOTIFY : VPN-HS : SENT : NOTIFY_MSG_R_U_HERE : 36136
19.06.2011 21:14:55 Ike: NOTIFY : VPN-HS : SENT : NOTIFY_MSG_R_U_HERE : 36136
19.06.2011 21:15:05 Ike: NOTIFY : VPN-HS : SENT : NOTIFY_MSG_R_U_HERE : 36136
19.06.2011 21:15:15 ERROR - 4035: IKE(phase1)isconnect due to no DPD response.
19.06.2011 21:15:15 Ike: phase1:name(VPN-HS) - error - DPD timer response expired
19.06.2011 21:15:15 IPSec: Disconnected from VPN-HS on channel 1.
Einen Kommentar schreiben:
Gaston antwortet

19.06.2011, 13:10
Zitat von vento66 Beitrag anzeigen

Also das Gateway und den DNS Server (nicht zu verwechseln mit dyndns) must Du eintragen.

Gateway und DNS Einstellungen im HS spielen ueber VPN keine Rolle.

@Thomas

Kannst du den HS über VPN pingen ?

Welche IP Adresse und Netwerk Maske hat der HS ?

Kannst Du bitte ein "ipconfig /all" posten vom PC mit aufgebautem VPN
Einen Kommentar schreiben:
shaolinmaster antwortet

18.06.2011, 16:33
Hallo

Ok. Das habe ich verstanden. Allerdings dachte ich das ich mit dem VPN ja zuszusagen schon im internen Netzwerk bin, also als ob ich direkt an der Fritzbox hänge. Da kann ich ohne Probleme über iETS programmieren. Warum geht das dann über das VPN nicht?

THomas
Einen Kommentar schreiben:
vento66 antwortet

18.06.2011, 08:09
Also das Gateway und den DNS Server (nicht zu verwechseln mit dyndns) must Du eintragen. Das ist im Normalfall deine Fritzbox. DYNDNS kannst Du im Experten nicht einstellen. Bei mir läuft alles über einen VPN allerdings mit einem Vigor Router. Die Ports brauchst Du natürlich nicht forwarden.
Einen Kommentar schreiben:
shaolinmaster hat ein Thema erstellt - √ - Frage zu HS Zugriff über VPN.

18.06.2011, 07:57
- √ - Frage zu HS Zugriff über VPN

Moin

Ich habe da mal eine Frage zum Fernzugriff über VPN und auch zu iETS:
Ich habe schon zu der Fritzbox erfolgreich einen VPN Zugang eingerichtet (mit NCP) der auch verbunden wird. Muss ich nun für iETS trotzdem die 3 Ports weiterleiten oder entfällt das da ich ja quasi schon im internen Netz drin bin? Ich habe im Experten auch noch kein Gateway und eine dyndns eingestellt weil ich dachte das man über VPN das nicht machen muss. Leider bekomme ich über den QC keine Verbindung wenn ich im VPN bin und die ETS bekommt auch keine Kommunikation. Habe ich irgendwas übersehen, oder muss ich im Experten trotzdem alle Einstellungen machen als ob ich über das Portal gehe? Habt Ihr eure HS eigentlich auch einfach über DynDns im Netz hängen oder löst Ihr das über VPN? Irgendwie habe ich ein mulmiges Gefühl einfach den Port 80 aufzumachen und jeder Scriptkiddy kann sich mal an dem Passwort probieren......

Thomas
Stichworte: -

Ankündigung

- √ - Frage zu HS Zugriff über VPN

Einen Kommentar schreiben:

Einen Kommentar schreiben:

Einen Kommentar schreiben:

Einen Kommentar schreiben:

Einen Kommentar schreiben:

Einen Kommentar schreiben:

Einen Kommentar schreiben:

Einen Kommentar schreiben:

Einen Kommentar schreiben:

Einen Kommentar schreiben:

Einen Kommentar schreiben:

Einen Kommentar schreiben:

Einen Kommentar schreiben:

- √ - Frage zu HS Zugriff über VPN