Android VPN - 1790VA

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Carsten1972
Beiträge: 188
Registriert: 04 Jul 2016, 19:37
Wohnort: Im schönen Sauerland

Android VPN - 1790VA

Beitrag von Carsten1972 »

Hallo,
ich benötige einmal eine Anleitung (oder einen Link zu einer solchen), um ein Andorid 10 Gerät mit einem 1790VA zu verbinden.
Wichtig: Diese Anleitung muss für <strike>Dumme</strike> Unerfahrene geeignet sein.

Bislang meine ich herausgefunden zu haben, dass das mit Android-Bordmitteln nicht geht.

OK, scheinbar scheint "Strong Swan" empfehlenswert zu sein. Andere Vorschläge? NCP wurde auch mal empfohlen, hat aber üble Bewertungen im PlayStore.

Und nun? Ich bin total verloren, weil die Lancom KB (für mich) zuviel Wissen voraussetzt. Ich bin schon verwirrt, wenn die Felder, in die ich Werte einzutragen habe, bei Lancom und bei Strong Swan verschieden heißen.

Ich habe eine feste IPv4 Adresse. (Und zwar NUR eine IPv4 Adresse.)
Ich möchte "nur" einen (sehr) sicheren Schlüssel benutzen. Für Zertifikate fehlt mir jegliches Wissen.
Ich habe am 1790VA mehrere Netze, über die Einwahl möchte ich einen Zugang zu genau einem dieser Netze haben - und zwar zu immer dem selben Netz. In diesem Netz läuft DHCP von .101 bis .254, zwischen .2 und .100 tummeln sich ein paar Drucker, Switches und AccessPoints.

Wichtig ist mir der Zugang von unterwegs aus dem Mobilfunknetz (ist Telekom) - in fremden WLANs befinde ich mich fast nie.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Android VPN - 1790VA

Beitrag von GrandDixence »

Entsprechende VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
anwenden.
Benutzeravatar
hyperjojo
Beiträge: 801
Registriert: 26 Jul 2009, 02:26

Re: Android VPN - 1790VA

Beitrag von hyperjojo »

hallo,

ich bin unter Android mit dem NCP Client sehr zufrieden. Die vom Setup-Assistent erstellten ini-Dateien kannst du hier problemlos importieren, funktioniert bei mir echt zuverlässig und gut. Schade finde ich nur, dass NCP die "einfache" Variante aus dem Play-Store genommen hat und man nun die etwas teurere Premium-Variante nehmen muss.

Gruß hyperjojo
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: Android VPN - 1790VA

Beitrag von 5624 »

Bei Android funktioniert der integrierte VPN-Client auch problemlos über eine IKEv2-Verbindung. NCP hab ich früher genutzt, aber nötig ist der nicht.
LCS NC/WLAN
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Android VPN - 1790VA

Beitrag von GrandDixence »

5624 hat geschrieben: 19 Apr 2021, 20:35 NCP hab ich früher genutzt, aber nötig ist der nicht.
Der NCP oder eine andere "Fallback-VPN-Lösung" ist erforderlich, wenn man ein schlecht administriertes, fremdes Netzwerk nutzen muss, wo eine Firewall den Zugriff auf die Serverports UDP 500 und UDP 4500 blockiert. Der Zugriff auf diese zwei Serverports ist zwingend erforderlich für die Realisierung eines VPN-Tunnels (hinter einer NAT-Netzwerkkomponente) mit IKEv2/IPSec (und NAT-Traversal).

In solchen schlecht administrierten, fremden Netzwerken (zum Beispiel Hotel-WLAN) ist der Einsatz einer "Fallback-VPN-Lösung" mit einem SSL-VPN über Serverport TCP 443 (https) unabkömmlich.
alles-zum-lancom-advanced-vpn-client-f3 ... ml#p102639
Benutzeravatar
hyperjojo
Beiträge: 801
Registriert: 26 Jul 2009, 02:26

Re: Android VPN - 1790VA

Beitrag von hyperjojo »

hi,
5624 hat geschrieben: 19 Apr 2021, 20:35NCP hab ich früher genutzt, aber nötig ist der nicht.
Ergänzend zu GrandDixence: Nicht alle Android-Devices haben den VPN-Client aktiv. Bei mehreren meiner Geräte ist er vom Hersteller Samsung entfernt worden.

Gruß hyperjojo
Carsten1972
Beiträge: 188
Registriert: 04 Jul 2016, 19:37
Wohnort: Im schönen Sauerland

Re: Android VPN - 1790VA

Beitrag von Carsten1972 »

GrandDixence hat geschrieben: 18 Apr 2021, 20:25 Entsprechende VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
anwenden.
Ich sehe, dass du dir da richtig viel Mühe gegeben hast - eine wahre Fleißarbeit.

Sollte der für mich einzig empfohlenen Weg sein, eine Anleitung zu befolgen, die auf eine Anleitung verweist (die wiederum auf andere Anleitungen verweist), von der ich aber einfach alles WIN-10 spezifische weglassen muss oder kann (oder auch nicht) - dann ist das leider kein für mich gangbarer Weg.

Du verweist da halt auf eine Anleitung für Windows 10 und gehst sehr ausführlich auf die besonderen Schritte ein, die dafür zu beachten sind. Da wäre bereits meine erste Frage: Sind Zertifikate für meinen Fall notwendig?

Fehlende Info von mir dürfte sein, wie "brisant" die Daten sind. Diese reiche ich nach:
Ich möchte eigentlich nur auf mein Druckernetz zugreifen und Pläne auch von unterwegs ausdrucken, damit der Plotter schon einmal starten kann und das Zeugs auf dem Fußboden liegt, wenn ich zu Hause ankomme. Und wenn ich dafür einen VPN habe, dann könnte ich ja auch einen Netzwerkspeicher angehen.
Darauf wären dann Aufgabenlisten und Baupläne. Persönliche Daten sind da auch enthalten, klar. Immerhin keine brisanten Daten (Gesundheit, Konten, Bonität, Pläne mit Sicherheitseinstufung), sondern langweiliges Zeugs mit Industriehallen, Büros und sehr selten mal ein Einfamilienhaus.
Nagus
Beiträge: 1
Registriert: 04 Nov 2021, 19:18

Re: Android VPN - 1790VA

Beitrag von Nagus »

Hallo zusammen,
hallo 5624,

ich weiß, der Post ist schon ein halbes Jahr alt, aber...
5624 hat geschrieben: 19 Apr 2021, 20:35 Bei Android funktioniert der integrierte VPN-Client auch problemlos über eine IKEv2-Verbindung. NCP hab ich früher genutzt, aber nötig ist der nicht.
... da werde ich gleich neugierig, denn genau das versuche ich gerade (erfolglos) zwischen einem Pixel 6 und einem 1783VA, also Client-to-Site, einzurichten. IP über DynDNS, bislang war das problemlos.

Nach Migration auf Android 12 fällt die bisherige, funktionierende Einwahl über XAuth PSK aus Kompatibilitätsgründen von Android 12 mit IKEv1 flach. Das ist ja auch wohl gut so, was ich bisher gelesen habe. Ich stelle mir nun stattdessen eine Einwahl über IKEv2 PSK vor, in einem Folgeschritt vielleicht auch zertifikatsbasiert. Leider scheitere ich bislang am Verstehen der umfangreichen VPN Traces (die ich gerne nachliefern kann, wenn sinnvoll).

Gibt es evtl. eine allgemeingültige Anleitung, die sich mit den Spezifika des Android 12-Built-In-VPN-Clients befasst und die mir bislang verborgen geblieben ist? Nach meiner bisherigen Lektüre wird öfter behauptet, es funktioniere schlichtweg nicht mit dem nativen Client, was sich mir aber nicht wirklich erschließt.

Die genannten Anleitungen, u. a. von GrandDixence, habe ich soweit befolgt, sie führen für mich aber nicht zum Erfolg. Eine Verbindung scheint zwar hergestellt zu werden, trennt sich jedoch bereits nach wenigen Millisekunden ohne sich mir erschließenden Grund (teardown) wieder.

Auf einen separaten VPN Client möchte ich gerne verzichten.

Für Ideen und Anregungen bin ich auf jeden Fall dankbar!

Viele Grüße
Nagus
overcast37
Beiträge: 73
Registriert: 30 Okt 2021, 09:26

Re: Android VPN - 1790VA

Beitrag von overcast37 »

Hallo zusammen,
ich würde mich gerne @Nagus anschließen.

Ich habe ein VPN gem. der Anleitung von Lancom eingerichtet und auch bei der von @GrandDixence geposteten Anleitung quergelesen, jedoch geht diese weder mit dem nativen VPN-Client noch mit StronSwan. Fehler: User auth failed.

Es ist soll ein VPN nach IKEv2 mit PSK sein. Benutzername wäre demnach ja die "Entfernte Identität", korrekt?
In der Anleitung wird nichts von einer Firewallregel geschrieben, kann das sein?
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Android VPN - 1790VA

Beitrag von GrandDixence »

Mit PSK rumzubasteln ist schade um die Zeit. Eigene PKI aufbauen und dann die eigene PKI für die sichere VPN- und WLAN-Authentifizierung (WPA2-Enterprise; EAP-TLS) einsetzen. Gedanken über den Einsatz von 802.1x im Ethernet-Kabelnetzwerk machen. Für weitere Informationen siehe auch:

https://www.heise.de/ct/artikel/WLAN-un ... 79513.html

alles-zum-lancom-wlc-4100-wlc-4025-wlc- ... 17333.html

fragen-zur-lancom-systems-routern-und-g ... ml#p109508

fragen-zum-thema-vpn-f14/ikev2-verbindu ... ml#p111609
Zuletzt geändert von GrandDixence am 19 Dez 2022, 21:59, insgesamt 2-mal geändert.
overcast37
Beiträge: 73
Registriert: 30 Okt 2021, 09:26

Re: Android VPN - 1790VA

Beitrag von overcast37 »

GrandDixence hat geschrieben: 22 Dez 2021, 09:47 Mit PSK rumzubasteln ist schade um die Zeit. Eigene PKI aufbauen und dann die eigene PKI für die sichere VPN- und WLAN-Authentifizierung (WPA2-Enterprise; EAP-TLS) einsetzen. Gedanken über den Einsatz von 802.1x im Ethernet-Kabelnetzwerk machen.
https://www.heise.de/ct/artikel/WLAN-un ... 79513.html
Ich bin da voll bei dir und würde das gerne alles umsetzten damit es ein sicheres Netz wie aus dem Bilderbuch ist, aber es ist nur ein einfaches Heimnetzwerk - und alles ist besser wie der Status Quo (Cloud Dienste). Daher würde ich erstmal gerne die einfachen Sachen zum laufen bekommen und vor allem von meinen bisherigen Fehlern lernen. Aber danke für den Link, 802.1x im Kabelnetzwerk ließt sich sehr interessant.
dingdong
Beiträge: 4
Registriert: 17 Jan 2022, 11:17

Re: Android VPN - 1790VA

Beitrag von dingdong »

Diese Anleitung hier habe ich erfolgreich mit dem vorinstalliertem VPN-Client auf einem Samsung Galaxy S20 FE getestet
https://support.lancom-systems.com/know ... d=32983593
Wichtig ist, dass man beim VPN-Typ auch tatsälich IKEv2/PSK ausgewählt wird und nicht IKEv1 XAUTH / EAP +PSK oder ähnliches.

Auf dem Galaxy S8 habe ich die Einstellung ebenfalls gefunden.
Beides wurde im Januar 2022, auf beiden Handys sind die aktuellsten Updates von Samsung installiert, keine Custom Rom, kein root oder ähnliches.
overcast37 hat geschrieben: 22 Dez 2021, 09:23 In der Anleitung wird nichts von einer Firewallregel geschrieben, kann das sein?
Man muss eine Firewallregel erstellen damit der VPN-Endpunkt Daten aus dem Netzwerk hinter dem Router empfangen kann.
Habe hier in einem anderem aber verwandten Kontext beschrieben wie das geht fragen-zum-thema-vpn-f14/suche-anleitun ... ml#p108603 siehe Punkt Konfiguration LANCOM / Firewall Regel erstellen.
Ggf. muss vorher auch ein Zugang mit der 1-Click VPN Konfiguration über den Setup Assistent gemacht werden damit entsprechende Konfigurationen für VPN vorhanden sind. Diese können sicher alle von Hand gemacht werden, da aber bereits über eine entsprechende Konfiguration vorhanden war, war das bei mir nicht notwendig.

Das Pocophone F1 mit MIUI 12.0.3 / Android 10 bietet im vorinstalliertem VPN-Client das beispielsweise nicht an.
Ich habe auch leider ohne Erfolg nach einem Client im Play Store gesucht mit dem IPsec IKEv2 PSK funktioniert.
- Der Strongswan Client bot mir die Option IKEv2 PSK (ohne EAP) nicht an.
- VPNCilla hatte ebenfalls kein IKEv2/PSK.
- Der Client von NCP zumindest für das Pocophone F1 nicht als Einzellizenz über den Play Store oder NCP direkt erhältlich sondern nur in Verbindung mit einem zu installierenden Lizenzserver.

Für mich heißt das, dass ich ein neues Handy benötige das diesen VPN-Typ unterstützt wenn ich das verwenden will. Habe mein Problem (VPN + RDP) aber mittlerweile anders gelöst.

Das VPN mit Zertifikat aufzubauen hat bei mir leider nicht geklappt da ich das Zertifikat auf den Lancom Router nicht erfolgreich hochladen konnte.
Ich vermute, dass wenn mir das mit dem Zertifikat gelungen wäre eine entsprechend eingerichtete VPN-Verbindung dann auch mit dem Pocophone F1 geklappt hätte.
little_admin
Beiträge: 1
Registriert: 18 Jan 2022, 11:43

Re: Android VPN - 1790VA

Beitrag von little_admin »

Ich bin jetzt auch langsam mit meinem Latein am Ende und suche hier nach Hilfe.

Lancom 1781VA
Firmware 10.42.062RU5
Netzwerk: 172.20.0.0/24
Google Pixel 6 Pro
Android 12
VPN per ShrewSoft VPN-Client funktioniert.

Als erstes bin ich der Anleitung von der offiziellen Lancom KnowledgeBase gefolgt (https://support.lancom-systems.com/know ... d=32983593).

Da dies nicht funktionierte, stieß ich auf diesen Beitrag hier und folgte der Anleitung von @dingdong (fragen-zum-thema-vpn-f14/suche-anleitun ... ml#p108603).

Ich änderte den Gruppennamen in einen FQDN und fügte die FireWall-Regeln hinzu. Auch hier blieb es ohne Erfolg. Anbei findet ihr ein paar Bilder und Auszüge aus dem Trace. Vielleicht kann mir ja da jemand helfen.

TraceLog auf Pastebin: https://pastebin.com/VjNzzggC

Bild

Bild

Bild
(Das IKEV2-Netzwerk soll von 172.20.0.20 bis 172.20.0.40 Adressen bereitstellen.

Bild

Bild

Ich wäre für eure Hilfe sehr dankbar - die Verbindung scheint ja aufzubauen, jedoch bricht sie aus irgendwelchen Gründen sofort ab.
dingdong
Beiträge: 4
Registriert: 17 Jan 2022, 11:17

Re: Android VPN - 1790VA

Beitrag von dingdong »

Hallo, ich konnte das Verhalten "VPN verbindet kurz und bricht gleich wieder ab" bei mir reproduzieren. Ich habe jedoch nicht in deinen Tracelog gesehen.
little_admin hat geschrieben: 18 Jan 2022, 12:55 Ich änderte den Gruppennamen in einen FQDN
Die Anleitung auf die du dich beziehst funktioniert für raspberry pi OS, bei Android hat es mit der LANCOM Anleitung funktioniert https://support.lancom-systems.com/know ... d=32983593.
Ändere beide (lokal und entfernt) Identitätstypen also wieder auf das in der LANCOM Anleitung vorgegebene Key-ID (Gruppenname).
Mit den Werten "zentrale" und "mitarbeiter" der Anleitung hat es funktioniert, sie können also voneinander abweichen.

Damit ließ sich bei mir die VPN-Verbindung aufbauen, aber da noch keine Firewallregel aktiv war konnte ich z.B. nicht auf Endpunkte zugreifen.
little_admin hat geschrieben: 18 Jan 2022, 12:55 und fügte die FireWall-Regeln hinzu.
Nachdem ich die Firewallregel mit Ziel auf "Beliebig" erstellt habe kam es dann zu den Verbindungsabbrüchen.

Beheben konnte ich das indem ich bei

Reiter "Stationen"
Verbindungsziel -> Verbindungen an folgende Stationen -> Hinzufügen -> Benutzerdefinierte Station hinzufügen -> [x] Alle Stationen im lokalen Netzwerk


angekreuzt habe. Du hast aktuell auch "Beliebig" drin stehen, vielleicht löst eine Anpassung dein Problem.

Bei "Dienste" habe ich zum Standard keine Änderung vorgenommen.

Getestet mit Samsung Galaxy S21.

Hoffe das hilft, viel Erfolg.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Android VPN - 1790VA

Beitrag von GrandDixence »

Im Trace ist ersichtlich, dass der VPN-Client auf dem Smartphone den bestehenden VPN-Tunnel mit einem IKE-Telegramm "DELETE" kurz nach dem erfolgreichen VPN-Tunnelaufbau trennt. Die Fehlersuche muss also mit den Fehlersuchfunktionen (Debug, Trace, Logfile) des Android-Mobilgeräts erfolgen.

Da man sich nicht gemäss meinem Beitrag vom "18 Apr 2021, 20:25" an die empfohlene Vorgehensweise hält (=> Einsatz der jahrelang bewährten Android-App StrongSwan), ist man bei der Fehlersuche auf sich selber gestellt...
Antworten