VPN via Android-Client

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Werniman
Beiträge: 46
Registriert: 06 Jul 2018, 07:36

VPN via Android-Client

Beitrag von Werniman »

Hallo,
Lancomrouter sind ja m.W. ein wenig wählerisch, welche VPN-Clients eine Verbindung zu ihnen herstellen können, ausser mit dem Lancom-eigenen Client oder dem Shrewsoft-Client hab ich das unter Windows mit noch keinem anderen Client hingekriegt. Normalerweise ist das bei einem notwendigen Remotezugriff auch kein Problem, denn den Vpn-Zugang nutze ich eh nur als Backup zum Teamviewer, mit dem ich mich auf meinen Bürorechner einloggen kann.
Wo ist das Probelm? Nun, ich befinde mich zur Zeit in den USA und habe hier die meiste Zeit nur ein Android-Tablet zur Verfügung, womit ich auch eine Teamviewer-Verbindung aufbauen kann. Nur hab ich es fertiggebracht, versehentlich meinen Bürorechner runterzufahren. Sprich: Ich brauche nun eine Möglichkeit, vom Android-Tablet eine Verbindung zum Lancom 1906va in der Firma herzustellen und auf die Art via RDP auf unsere Server zuzugreifen. Momentan hab ich die Konfigdatei auf meinem Onedrive liegen, mit der ich unter Windows den Shrewsoft-Client konfiguriert habe, d.h. ich kann da die nötigen Verbindungsparameter zum Router auslesen.
Meine Frage: gibt's für Android einen Vpn-Client, der eine Verbindung zu einem Lancom-Router herstellen kann?
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: VPN via Android-Client

Beitrag von MariusP »

Hi,
Lancomrouter sind ja m.W. ein wenig wählerisch, welche VPN-Clients eine Verbindung zu ihnen herstellen können, ausser mit dem Lancom-eigenen Client oder dem Shrewsoft-Client hab ich das unter Windows mit noch keinem anderen Client hingekriegt.
Man kann es auch anders spinnen.
Viele Clients haben entweder komische nicht konfigurierbare Proposals oder halten sich nicht an die RFCs und sind daher nicht interoperabel.
:I) Es muss an der Gegenseite liegen und kann garnicht an der eigenen Seite liegen. :I)
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VPN via Android-Client

Beitrag von backslash »

Hi Werniman,

hier im Forum fand man vor Jahren mal eine Anleitung, wie man mit Windows-Bordmitteln eine VPN-Verbindung zu einem LANCOM aufbaut. Leider ist sie verschwunden und es existieren nur noch tote Links...
Letztendlich funktioniert es mit wirklich allen RFC-Konformen Clients - selbst mit Clients von Cisco funktioniert es, obwohl die alles andere als RFC-Konform arbeiten... Du mußt dazu aber schon einen Client nehmen, der IPSec macht macht. OpenVPN o.ä. funktioniert hingegen nicht, weil OpenVPN nunmal kein IPSec macht, sondern ein proprietätes TLS-VPN...

Gruß
Backslash
gehau
Beiträge: 56
Registriert: 06 Feb 2005, 17:24

Re: VPN via Android-Client

Beitrag von gehau »

Wieso nicht den NCP Secure Android Client?
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN via Android-Client

Beitrag von GrandDixence »

Aus Sicherheitsgründen sind nach Möglichkeit alle Serverdienste in einem vom Internet abgeschotteten Netzwerk zu betreiben. Der Zugriff vom Internet auf Serverdienste sollte nur für einen genau bekannten Benutzerkreis über einen sicheren VPN-Tunnel möglich sein (keine Portweiterleitung/Port Forwarding). Siehe dazu:
viewtopic.php?f=14&t=17171&p=97366&hili ... ort#p97354

Allenfalls muss eine "Always On"-VPN-Lösung realisiert werden. Siehe dazu:
fragen-zur-lancom-systems-routern-und-g ... 19563.html

Anleitung für VPN-Tunnel mit Android-Geräte:
aktuelle-lancom-router-serie-f41/1781va ... tml#p90462

Anleitung für VPN-Tunnel mit Windows Native VPN Client:
fragen-zum-thema-vpn-f14/windows-phone- ... tml#p86774

Anleitung für VPN-Tunnel mit Apple-Geräte:
fragen-zum-thema-vpn-f14/windows-phone- ... tml#p91961

Anleitung für VPN-Tunnel mit Linux-Rechner:
fragen-zum-thema-vpn-f14/ipsec-vpn-zwis ... 16254.html

fragen-zum-thema-vpn-f14/suche-anleitun ... ml#p108603

Anleitung für VPN-Tunnel zwischen zweier LANCOM-Geräte:
fragen-zum-thema-vpn-f14/sitetosite-vpn ... tml#p91268

Anleitungen für VPN-Tunnel mit LANCOM Advanced VPN Client:
viewtopic.php?f=31&t=17804&p=100947#p100947

VPN-Fehlersuche professionell betreiben:
fragen-zur-lancom-systems-routern-und-g ... ml#p109280

Eine Begründung, weshalb PSK (Pre-shared Key) nicht eingesetzt werden sollte, findet man unter:
fragen-zum-thema-vpn-f14/android-vpn-17 ... ml#p108418

Eine Begründung, weshalb IKEv1 nicht mehr eingesetzt werden sollte, findet man unter:
fragen-zum-thema-vpn-f14/lancom-hinter- ... tml#p97903

Lösungsvorschläge für den Wechsel von IKEv1 nach IKEv2 findet man unter:
viewtopic.php?p=109612#p109612

Einen Überblick über IKEv2 bietet:
https://www.heise.de/security/artikel/E ... 70056.html

Einen Überblick über IPSec bietet:
https://www.heise.de/security/artikel/V ... 70796.html

Eine Argumentation gegen den Einsatz von OpenVPN oder Wireguard findet man unter:
lancom-feature-wuensche-f22/wireguard-t ... ml#p103229

Bei sehr hohen Sicherheitsanforderungen an den VPN-Tunnel ist ein HSM einzusetzen:
viewtopic.php?f=14&t=17833&p=101137

fragen-zum-thema-vpn-f14/adv-vpn-client ... ml#p116094

Einen Einstieg zum Thema "Firewall" und "Netzwerksegmentierung" bietet:
fragen-zum-thema-firewall-f15/schulnetz ... ml#p106924
Zuletzt geändert von GrandDixence am 29 Jan 2024, 13:50, insgesamt 18-mal geändert.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VPN via Android-Client

Beitrag von backslash »

Hi jameskotler
Versuchen Sie OpenVPN.
OpenVPN wird von LANCOM nicht unterstützt. LANCOM unterstützt IPSec, sowohl mit IKEv1 als auch IKEv2. Jeder IPSec-fähige VPN-Client sollte somit eine Verbindung zum LANCOM aufbauen können.

Gruß
Backslash
WebBuddha
Beiträge: 2
Registriert: 01 Okt 2019, 18:12

Re: VPN via Android-Client

Beitrag von WebBuddha »

Hallo zusammen,

wenn ich darf, würde ich mich gerne hier mit anhängen...Da ich ein ähnliches Problem haben.
VPN habe ich an meinem 1781ef+ Router eingerichtet, bekomme aber keine Verbindung zustande.
Ich habe mir bereits den VPN Trace angesehen, werde daraus aber nicht wirklich schlau.
Vielleicht könnt Ihr mir dabei ja auf die Sprünge helfen.

Code: Alles auswählen

[VPN-Status] 2019/10/01 18:21:30,413  Devicetime: 2019/10/01 18:21:28,475
Peer <UNKNOWN>: Received an IKE_SA_INIT-REQUEST of 716 bytes
Gateways: 217.xxx.xxx.xxx:500<--80.xxx.xxx.xxx:31772
SPIs: 0x418CE15BC81418580000000000000000, Message-ID 0
-Could not assign message from 80.xxx.xxx.xxx to any existing peer.
  -Either Peer's remote gateway is unspecified/unresolved by DNS, or
  -IKEv2 message came through unexpected interface, or
  -DEFAULT peer is not active
Grüße
WebBuddha
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: VPN via Android-Client

Beitrag von MariusP »

Hi,
Eine Verbindung kommt rein von einer IP für die keine Gegenstelle eingetragen ist.
Daher kann er die Gegenstelle nicht zuordnen und da es keinen Defaulteintrag gibt kann er es nicht vorläufig darüber matchen.

Was steht denn so in der Peers-Tabelle? Fehlt dort der "Default" genannte Eintrag und auch einen Gegenstelle zu der einwählenden IP-Addresse?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
WebBuddha
Beiträge: 2
Registriert: 01 Okt 2019, 18:12

Re: VPN via Android-Client

Beitrag von WebBuddha »

Danke für deine Antwort.
Ich habe den Assistenten zur Einrichtung genutzt, daher gefällt mir der Eintrag "default" nicht so wirklich.

Zu deiner Frage, in der Verbindungsliste steht der Eintrag "default" drin, aber was genau meinst du mit der Gegenstelle?

Gruß
WebBuddha
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: VPN via Android-Client

Beitrag von MariusP »

Hi,
Der Default Eintrage bezieht sich auf jede eingehende für die du im Vorhinein nicht weist mit welcher IP-Addresse der Client anfragt. Das passiert vorallem bei z.b. über das Mobilfunknetz verbindenden Clients.
So kann einer Verhandlung eine Verschlüsselung zugewiesen werden (AES, SHA, DH Versionen). In dem zweiten Verhandlungsschritt wird entweder per PSK oder Zertifikat der Client erkannt.
Existiert ein solcher Default eintrag nicht, kann das Lancom die Verhandlung nicht die Verbindung weiterführen, da sie raten müsste welche Art der Verschlüsselung zu verwenden werde. Dieser Eintrag hat daher eine höhere/andere Bedeutung als die anderen Defaulteinträge im VPN-Menü, welche nur einen Beispiel/Empfehlungseintrag sind, den man anschließend leicht referenzieren kann.

Solange du also weder passende Zertifikate oder PSKs eingetragen hast ist ein solcher Defaulteintrag nichts was du brauchst aber auch nicht entfernen musst.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
dingdong
Beiträge: 4
Registriert: 17 Jan 2022, 11:17

Re: VPN via Android-Client

Beitrag von dingdong »

Hallo Zusammen, falls jemand per Suchmaschine auf diesen Thread stößt und eine Anleitung für Linux / Debian / raspberry pi / raspbian / raspberry pi OS sucht habe ich hier eine funktionierende Konfiguration mit IPsec IKEv2 PSK gepostet fragen-zum-thema-vpn-f14/suche-anleitun ... ml#p106303
Antworten