Einrichtung Shrew Soft VPN Client

[Werniman]

Hallo,
ich habe ein Problem bei der Einrichtung des Shrew-Soft VPN Clients, der sich per VPN zu unserem Lancom 1781VA verbinden soll.
Momentan habe ich einen VPN-Zugang über das Konfigurationstool von LANconfig eingerichtet und auch die Ini-Datei gesichert bekommen. Im Lancom-eigenen VPN-Tool funktioniert der Zugang auch (die Verbindung ist also dahingehend schonmal ok). Nun möchte ich aber statt des lancomeigenen Tools lieber den Shrew-Soft-VPN-Client nutzen,mit dem wohl eine Verbindung machbar sein soll. Das Problem ist,dass ich beim Versuch, eine Verbindung aufzubauen, die Fehlermeldung "negotiation timout occurred - tunnel disabled - detached from key daemon" kriege und vermute,dass ich irgendwo noch einen Fehler in den Einstellungen des Profils im Shrewsoft-Clients habe. Momentan bin ich nach dieser Anleitung vorgegangen:

Hier erstmal der Inhalt der Ini-Datei, wie sie bei der Einrichtungder VPN-Verbindung erstellt wurde (IP-Adressen, Domainnamen und Passwörter hab ich aus wohl verständlichen Gründen vor dem Posten geändert):

[PROFILE1]
Name=Routername-JAHNVPN
ConnMedia=21
ConnMode=0
SeamRoaming=1
PriVoIP=1
Gateway=80.80.80.80
PFS=14
UseComp=0
IkeIdType=3
IkeIdStr=JAHNVPN@domainname
Secret=)?P|phDmL6%spuZq
UseXAUTH=0
IpAddrAssign=0
IkeDhGroup=14
ExchMode=34
IKEv2Auth=2
IKEv2Policy=WIZ-AES256-SHA256
IPSEC-Policy=WIZ-AES256-SHA256
[IKEV2POLICY1]
Ikev2Name=WIZ-AES256-SHA256
Ikev2Crypt=6
Ikev2PRF=5
Ikev2IntAlgo=12
[IPSECPOLICY1]
IPSecName=WIZ-AES256-SHA256
IpsecCrypt=6
IpsecAuth=5



Nun habe ich gemäß des o.g. Links das Profil des Shrewsoft-VPN-Clients gefüllt:

General
Hostname=80.80.80.80
Port: 500
Auto Configuration:ike config pull

Authentification / Local Identity:
User Fully Qualified Domain Name: JAHNVPN@domainname

Authentification / Remote Identiy
User Fully Qualified Domain Name: JAHNVPN@domainname

Authentification / Credentials
Preshared Key: )?P|phDmL6%spuZq

Phase 1:
Exchange Type = aggressive,
DH Exchange = group 2,
Cipher Algorithm = aes,
Cipher Key Length = 256,
Hash Algorithm = sha1;

Phase 2:
Transform Algorithm = esp-aes,
Transform Key Length = 256,
HMAC Algorithm = sha1,
PFS Exchange = group 2;



Hab ich da noch irgendwo ´nen Fehler drin ?

[trevise]

Hallo,

bei mir hat es mit folgenden Hinweisen funktioniert:
https://www.shrew.net/support/Howto_Lancom
Nicht unbedingt, was man erwartet ( Übernahme der generierten Spec aus dem Router), aber es funktioniert u.a. mit Linux (Ubuntu). Für iOS gibt es von LANCOM Hinweise zu den Einstellungen mittels myVPN.


Gesendet von iPhone mit Tapatalk

[Werniman]

Hat nicht so wirklich funktioniert, weil mir bei der Einrichtung der VPN-Verbindung einige der in der PDF genannten Optionen fehlen.

Allerdings habe ich einen anderen Weg gefunden, wie man die VPN-Verbindung herstellen kann: Ein Tool namens VPN Multiconnect (Freeware) kann Konfigurationsdateien für Lancom-Router, Fritz-Boxen und dem Shrew-Soft-VPN-Client produzieren. Übrigens auch auch welche,um direkte VPNs zwischen Fritzbox und Lancom herzustellen. Das heißt,man muss die Konfig-Files nur noch in die Router bzw in das Shrewsoft-Tool importieren,dann klappts auch mit dem VPN.

[MariusP]

Hi,
Wie legt dieses Tool die PSK-Schlüssel fest? Oder gibt man sie selber ein?
Gruß

[Werniman]

Der wird per Zufallsgenerator produziert. Ist zwar nur alphanumerisch im engeren Sinne (d.h.der Zugallsgenerator produziert nur PSK aus Groß/Kleinbuchstaben+Zahlen), man kann den Key aber manuell editieren und so noch ein paar Sonderzeichen einstreuen, wenn man das will. Dafür sinds immerhin 36 Stellen.

[Jirka]

Dieses VPN Multiconnect erzeugt leider keine optimalen Konfigs, teilweise sind diese gar falsch (insbesondere im Shrew). Gut, es funktioniert, aber ich kann von der Verwendung nur abraten. Im LANCOM braucht nichts anderes eingestellt werden, als beim normalen VPN-Client auch und da sollte man auch keine Abstriche machen. Der Autor des Tools ist übrigens auch Mitglied hier im Forum.
Davon abgesehen ist aber auch der Shrew-Soft-VPN-Client seit Jahren nicht mehr betreut worden. Insbesondere unter Windows 10 sorgt dieser VPN-Client immer wieder für Probleme. Von daher kann man den VPN-Client für Windows 10 auch nicht mehr ruhigen Gewissens empfehlen.

[ecox]

Hey,

hier meine Konfigs...

Code: Alles auswählen

# Läuft seit LCOS9 bis zur aktuellesten 10.20er Beta

# - LANCOM-Settings -
# NAT-T aktivieren
# Proxy-ARP aktivieren

## /Setup/VPN/VPN-Peers

Peer               INFO:    SHREWSOFT
SH-Time            VALUE:   0
Extranet-Address   VALUE:   0.0.0.0
Remote-Gw          VALUE:   0.0.0.0
Rtg-tag            VALUE:   0
Layer              VALUE:   SHREWSOFT
dynamic            VALUE:   No
IKE-Exchange       VALUE:   Aggressive-Mode
Rule-creation      VALUE:   manually
DPD-Inact-Timeout  VALUE:   90
IKE-CFG            VALUE:   Server
XAUTH              VALUE:   Off
SSL-Encaps.        VALUE:   No
OCSP-Check         VALUE:   No
IPv4-Rules         VALUE:   
IPv6-Rules         VALUE:   
IPv6               VALUE:   DEFAULT

## /Setup/VPN/Layer/SHREWSOFT

Name             INFO:    SHREWSOFT
PFS-Grp          VALUE:   2
IKE-Grp          VALUE:   2
IKE-Prop-List    VALUE:   IKE_SHREWSOFT
IPSEC-Prop-List  VALUE:   IPS_SHREWSOFT
IKE-Key          VALUE:   KEY_SHREWSOFT

## /Setup/VPN/Proposals/IKE-Proposal-Lists/IKE_SHREWSOFT

IKE-Proposal-Lists  INFO:    IKE_SHREWSOFT
IKE-Proposal-1      VALUE:   PSK-AES256-SHA256
IKE-Proposal-2      VALUE:   PSK-AES256-SHA1

## /Setup/VPN/Proposals/IPSEC-Proposal-Lists/IPS_SHREWSOFT

IPSEC-Proposal-Lists  INFO:    IPS_SHREWSOFT
IPSEC-Proposal-1      VALUE:   TN-AES256-SHA1
IPSEC-Proposal-2      VALUE:   TN-AES256-SHA1

## /Setup/VPN/Certificates-and-Keys/IKE-Keys/KEY_SHREWSOFT

Name             INFO:    KEY_SHREWSOFT
Local-ID-Type    VALUE:   Email-Address
Local-Identity   VALUE:   axels.vpn
Remote-ID-Type   VALUE:   Email-Address
Remote-Identity  VALUE:   axels.vpn
Shared-Sec       VALUE:   *
Shared-Sec-File  VALUE:   

## /Setup/IP-Router/IP-Routing-Table/

IP-Address  INFO:    172.16.40.4
IP-Netmask  INFO:    255.255.255.255
Rtg-tag     INFO:    0
Peer-or-IP  VALUE:   SHREWSOFT
Distance    VALUE:   0
Masquerade  VALUE:   No
Active      VALUE:   Yes
Comment     VALUE:   IKEv1 SHREWSOFT <-> Workstation


# - Shrew VPN Client Settings -
# Ab Zeile 71 kopieren und als SUCH_DIR_WAS_AUS.vpn abspepeichern (UTF-8) und in Shrew-Client importieren

n:version:4
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:1
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:1
n:network-notify-enable:1
n:client-dns-used:1
n:client-dns-auto:1
n:client-dns-suffix-auto:1
n:client-splitdns-used:1
n:client-splitdns-auto:1
n:client-wins-used:1
n:client-wins-auto:1
n:phase1-dhgroup:2
n:phase1-keylen:256
n:phase1-life-secs:86400
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-keylen:256
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:0
s:network-host:HIER DIE IP ODER DNS EINTRAGEN
s:client-auto-mode:pull
s:client-iface:virtual
s:network-natt-mode:enable
s:network-frag-mode:enable
s:auth-method:mutual-psk
s:ident-client-type:ufqdn
s:ident-server-type:ufqdn
s:ident-client-data:HIER DAS EINTRAGEN WAS IN DER LANCOM CONFIG UNTER "/Setup/VPN/Certificates-and-Keys/IKE-Keys/KEY_SHREWSOFT"
s:ident-server-data:HIER DAS EINTRAGEN WAS IN DER LANCOM CONFIG UNTER "/Setup/VPN/Certificates-and-Keys/IKE-Keys/KEY_SHREWSOFT"
b:auth-mutual-psk:HIER DIE PSK EINTRAGEN
s:phase1-exchange:aggressive
s:phase1-cipher:aes
s:phase1-hash:sha1
s:phase2-transform:esp-aes
s:phase2-hmac:sha1
s:ipcomp-transform:disabled
n:phase2-pfsgroup:2
s:policy-level:auto
s:policy-list-include:172.16.40.0 / 255.255.255.248 "Dieser Eintrag ist dafür gedacht, das nur der Verkehr in das 172.16.40er Netz über den VPN geht, alles andere, geht über deine eigene Leitung"

Grüße
ecox

[Werniman]

Dass ich den Shrewsoft-Client nutzen will, hat nicht mal was damit zu tun, dass ich den aus rein technischer Hinsicht bevorzugen würde. Sondern es ist dem simplen Umstand zu verdanken, dass unser Chef damals zwar einige Lizenzen für den Lancom-Client gekauft hat, aber -man ahnt es irgendwie- keinen Plan hat, wo er das Schreiben mit den Lizenznummern abgeheftet hat . Und natürlich will er keinesfalls neue kaufen. D.h. ich als Anwendungsbetreuer der Firma darf mir also was einfallen lassen, wie ich einer Handvoll User den Zugang zum Firmennetz auch nach Ablauf der Testversion des Lancom-VPN-Clients ermögliche.

[ecox]

@ Werni,
nimm meine Konfigs und nimm Shrew...allen anderen Anwendungen würde ich keine Beachtung schenken...auch kannst PPTP Verbindungen oder IKEv2 Verbindungen mit Windows-board-mitteln einrichten, weiß nicht genau wo das Problem liegt

Grüße
ecox

[Werniman]

auch kannst PPTP Verbindungen oder IKEv2 Verbindungen mit Windows-board-mitteln einrichten, weiß nicht genau wo das Problem liegt

Du kennst unsere User hier nicht...manchmal fragt man sich, wie manche davon wohl frühs den Weg aus der Haustür finden Will sagen: einigen Usern muss man es so einfach wie möglich machen. Da will ich nicht mal dran denken, denen erklären zu müssen, wie sie an ihrem heimischen PC eine VPN-Verbindung zur Firma auf/abbauen. Man will ja schließlich nicht generell auch deren private Internetaktivitäten über die VPN-Verbindung laufen haben.