Ankündigung

**Shoko** · 31.01.2012, 10:28

Hi,

I just downloaded the configuration files as package from the wiregate and extracted it on a folder called "openvpn" on the sdcard. I used the .ovpn file to connect. I didn't change any settings.

Perhaps try checking the option "Load tun kernel module" in the Advanced settings. I didn't need to do this, but I read that on some devices it is necessary.

Also, did you forward the required port?

**martenss** · 31.01.2012, 10:54

Zitat von Shoko Beitrag anzeigen

Hi,

Perhaps try checking the option "Load tun kernel module" in the Advanced settings. I didn't need to do this, but I read that on some devices it is necessary.

Tun support is build into the custom ROM kernel (can find /dev/tun as well), so should not be required.

Zitat von Shoko Beitrag anzeigen

Also, did you forward the required port?

I am able to remotely connect from a Portable PC since more than a year. Port forwarding on router is ok. Unless you refer to the client side?

**Chris M.** · 31.01.2012, 22:44

Zitat von makki Beitrag anzeigen

L2TP/IPsec ist, ehrlich, was für die ganz harten im Garten

Nach dem ich heute gesehen habe, dass ich aus externen Gründen IPSec brauche, werde ich mich wohl abhärten gehen müssen

**makki** · 01.02.2012, 00:03

Na klasse

Android mit OpenVPN&rooten kann ich wenig helfen da ich meine China-Dinger nicht rooten kann (oder besser gesagt weder Zeit noch Lust habe das "wie" rauszufinden..)

IPSec ansich wär ja noch übersichtlich.. Ich mein vorhanden ist an Bord alles dazu aber die Erfahrung damit ist nahe Null weil ich von dem L2TP over IPSec schon historisch garnichts halte, weil es "im Feld" also beim Endanwender ständig Trouble macht (IKE &NAT[-T] geht noch irgendwie, aber ESP (Protocol 50, das steht im Schichtenmodell neben TCP, UDP, ...) geht halt mal bei der hälfte der Hotel-AP's garnicht, Mobilfunker sperren es teils mutwillig weil man damit ja auch VoIPen könnte usw..
Sehr blutige Angelegenheit, nicht nur in der Einrichtung sondern vor allem auch in der Praxis..

Ehrlichgesagt dürfte es sogar einfacher bzw. besser dokumentiert sein, das auf FB oder IP-Extender ans fliegen zu bekommen! (den notwendigen Stoff an Paketen habe ich fürn IPE eben gebaut, fully untested)

-> Ich nehms mir mal vor aber ohne zeitlichen Rahmen oder Erfolgsgarantie.. PPTP ist definitiv die einfachere und verfügbare Lösung..

Makki

**henfri** · 01.02.2012, 10:44

Ha, gestern erst hab ich danach kurz gegooglet, und siehe da: In meinem Lieblingsforum gibt's schon nen Thread dazu.

Was mir nicht ganz klar ist, ist in wiefern die Android-Bordmittel unzulänglich sind, so dass der ganze root/tun.ko Kram nötig wird?

Gruß,
Hendrik

**greentux** · 01.02.2012, 12:07

Das ESP steht hier ja nicht "neben" den Protokollen, da man es für Roadwarrior, was im Allgemeinen alle mobilen Devices sind, in upd Port 4500 verpackt. NAT-traversal heißt das.
Es lassen sich ein paar Seiten finden, die sich mit Android/iPhone gegen Ubuntu mit L2TP/IPSec beschäftigen. Ich hoffe mal die Zeit zu finden, das mal auszuprobieren.

**makki** · 02.02.2012, 01:18

NAT-T (richtig, 4500/UDP) ist die einzig realistische Chance, weil mit ESP macht man sich jeden Roadwarrior zum Feind, weils fast nirgends geht

Die ganze tun/tap-Nummer braucht man dafür nicht, für den AW einfacher, für den Admin ist L2TP over IPSec aber ein relativer Albtraum

Wiegesagt, wenn grad keine anderen 100 Sachen auf die Pipeline drücken, versuchs ichs mal.. Technisch weiss ich das es geht aber wenn auch in "richtig" mit Zertifikaten, da blockiert der perfektionismus dann die einfache Lösung..

Makki

**henfri** · 02.02.2012, 10:34

Zitat von makki Beitrag anzeigen

NAT-T (richtig, 4500/UDP) ist die einzig realistische Chance, weil mit ESP macht man sich jeden Roadwarrior zum Feind, weils fast nirgends geht

In diesem Satz verstehe ich nicht:

NAT-T
Chance (worauf?)
ESP
Roadwarrior

*grins* Ist aber nicht so schlimm, könnt ich ja googlen.
Aber ich glaub, für meine Frage ist das nicht nötig:

Zitat von henfri Beitrag anzeigen

Was mir nicht ganz klar ist, ist in wiefern die Android-Bordmittel unzulänglich sind, so dass der ganze root/tun.ko Kram nötig wird?

Mir scheint es am einfachsten, den Server so zu konfigurieren, dass es mit Android-Bordmitteln funktioniert.
Was spricht dagegen?

Gruß,
Hendrik

**greentux** · 02.02.2012, 11:11

ESP ist neben IP ein Schicht 3 Protokoll, mit dem die meisten Firewalls Probleme haben. Daher packt man das in eine Shcicht 4 ein, nämlich in UDP, wobei sich Port 4500 als Standard eingebürgert hat.
Die Chance liegt also recht hoch, mit einem derartigen Setup eine Verbindung hinzubekommen.

Roadwarrior sind Geräte, die über verschiedene Netze reinkommen, unvorhersehbar. Also aben auf der Straße.

Man muss IPSec auch nicht unbedingt mit Zertifikaten machen. Eine Preshared Passphrase ist auch möglich. Damit werde ich es mal versuchen.

**henfri** · 02.02.2012, 15:36

Hallo,

danke für die Erläuterung.
Bleibt aber die Frage:

Mir scheint es am einfachsten, den Server so zu konfigurieren, dass es mit Android-Bordmitteln funktioniert.
Was spricht dagegen?

Gruß,
Hendrik

**greentux** · 02.02.2012, 16:09

Das sind beides Android Bordmittel. Sowohl PPTP als auch L2TP over IPSec. Meines jedenfalls kann Beides. Eines der Sachen ist halt Microsoft, das andere Cisco. Leider ist nix "normales" dabei (IPSec ohne L2TP).

**henfri** · 02.02.2012, 16:53

Hallo,

meins kann:

PPTP
L2TP
L2TP via IPSec PSK
L2TP via IPSec CRT

Meine Frage bezog sich daru dass man hinsichtlich VPN auf Android immer hört
"rooten", Kernel mit tun.ko bauen etc.

Und ich frage mich, warum man das braucht.

Gruß,
Hendrik

**greentux** · 02.02.2012, 19:42

Wenn man
- pures IPSec machen will
oder
- OpenVPN (Schicht 4/5)
dann muss man rooten.

**alexbeer** · 02.02.2012, 23:20

Das mit dem root liest man daher so oft, da die AVM Fritz Boxen keines der Android VPNs unterstützen -zumindest nicht on Haus aus und im privaten Umfeld die Fritzboxen recht verbreitet sind.

Also muss man die fritz konfigurieren ( freetzen) oder das Telefon ( rooten)

**makki** · 02.02.2012, 23:57

Zitat von henfri Beitrag anzeigen

Und ich frage mich, warum man das braucht.

Das "braucht" man nicht.. Entweder man tut sich das geficke auf der Server-seite an - oder eben am Client

Wiegesagt: der einfache Ausweg ist PPTP, so bitter das für den Laien klingt.. Das ist auch nicht viel schlimmer als IPSec mit PSK (statische Passwörter sind und bleiben Schrott, da ändert auch IPSec nichts fundamentales dran)

-> Wenn dann gleich richtig, so wie es eben aus der Box fällt mit OpenVPN&Zertifikaten oder IPSec+Zertifikat aber Anwenderfreundlich und einfach ist was anderes..

Warum allerdings Android kein OpenVPN oder richtiges IPSec ohne das unnötige L2TP darüber aus der Box kann, ist für mich auch nicht wirklich nachvollziehbar, weil das ist beides keine Zauberei..

Makki

Ankündigung

Android und VPN

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar