VPN-Verbindung über Android WLAN-Hotspot wird nicht hergestellt

[ENF]

Hallo,

folgendes Szenario würde ich gerne verwirklichen:

Mit meinem Android Smartphone erstelle ich einen Wlan-Hotspot. Mit meinem Laptop (192.168.1.3) verbinde ich mich mit diesem Hotspot, starte eine VPN-Verbindung (Shrew) zu meiner Fritzbox (192.168.1.1) und bin somit mit meinem privaten Netzwerk daheim verbunden. Ich kann meinen PC (192.168.1.2) dann entweder per Remote bedienen oder auch nur aufwecken.


Was bereits funktioniert ist, dass ich mich über das Mobilfunknetz mit meinem Smartphone mittels VPN zur Fritzbox verbinden kann, dann mittels der Microsoft RDP-Client-App auf meinen PC zugreifen kann oder ihn per WOL wecken. Über die App Totalcommander kann ich auch auf die SMB-Freigaben zugreifen.

Was nicht funktioniert ist, wenn ich das über meinen Laptop mittels Wlan-Hotspot versuche. Der Laptop verbindet sich mit dem Hotspot, aber die VPN-Verbindung wird nicht hergestellt.

Die VPN-Einstellungen in Shrew sind definitiv korrekt, Tippfehler ausgeschlossen. Die VPN Verbindung über das Smartphone mit den gleichen Daten funktioniert ja bereits.

Das Shrew-Verbindungsprotokoll sagt:

config loaded for site 'Fritzbox 7530'
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon


Der mobile Hotspot meines Smartphones weist meinem Laptop die IP 192.168.43.1 zu, da kann eigentlich doch kein Konflikt bestehen mit dem Adressbereich des Heimnetzwerks.

Hat jemand eine Idee woran das liegen kann?

 

[xCtrl]

Frage am Rande: Warum Shrewsoft und nicht der Fritz Fernzugang?
Ansonsten: Hat der DSL Anschluss DSLite oder rein IPv4?

Edit: Sorry, habe überlesen, dass der VPN direkt vom Handy schon funktioniert

 

[Datax]

Die VPN-Einstellungen in Shrew sind definitiv korrekt, Tippfehler ausgeschlossen. Die VPN Verbindung über das Smartphone mit den gleichen Daten funktioniert ja bereits.

Das Shrew-Verbindungsprotokoll sagt:

config loaded for site 'Fritzbox 7530'
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon

Der mobile Hotspot meines Smartphones weist meinem Laptop die IP 192.168.43.1 zu, da kann eigentlich doch kein Konflikt bestehen mit dem Adressbereich des Heimnetzwerks.

Die Meldung negotiation timout occurred bedeutet,
dass mit der Gegenstelle (FritzBox) Phase 1 nicht erfolgreich "ausgehandelt" werden konnte.

Mögliche Ursachen:

• Dein Laptop kommt nicht ins Internet

Frage dazu: Hat dein Laptop sicher die 192.168.43.1!? In aller Regel ist das Gateway in einem Smartphone-
Hotspot die erste IP in dem betreffeneden Netz. Per "ipconfig /all" in einer "CMD" (Eingabeaufforderung)
kannst du das überprüfen.

Per "ping 1.1.1.1" + "nslookup www.google.de" kannst du dann auch prüfen,
ob dein Internetzugang inkl. Namensauflösung funktioniert.

• eine Firewall blockiert UDP-Port 500 (IKE)
• deine IPsec-Einstellungen im "Shrew Soft VPN Client" sind nicht korrekt

Es gibt eine gute Anleitung von Hersteller "AVM" zur Einrichtung des Shrew-Clients:
https://avm.de/service/vpn/tipps-tr...ritzbox-mit-shrew-soft-vpn-client-einrichten/

Hier darf man natürlich nichts vergessen zu konfigurieren und auch keinen Tippfehler machen,
z.B. der Reiter "Local Identity" muss natürlich auch korrekt ausgefüllt sein.

 

[Golgorod]

NAT-T ist an?

Port 500 wir sehr gerne blockiert.

 

[ENF]

Mögliche Ursachen:

Der Laptop hat allein über den Hotspot Internetzugriff.
Die IP-Adresse ist 192.168.43.157. Bin in der Zeile verrutscht.

Genau nach der AVM Anleitung bin ich bisher vorgegangen.
Tippfehler sind wie gesagt ausgeschlossen. Ich kopiere die Daten und tippe sie nicht händisch ein genau aus dem Grund der Fehlervermeidung. Ist aber trotzdem jetzt alles nochmal kontrolliert.

Was mir aufgefallen ist, müsste unter den Netzwerkadapter nicht irgendein Virtual Adapter der VPN Software sein? Ich habe da momentan nur einen einzigen Eintrag, den meiner WLAN-Karte. Einen Ethernetanschluss hat das Gerät nicht. OS ist Windows 10 1909.

Ergänzung (3. April 2020)

NAT-T ist an?
Port 500 wir sehr gerne blockiert.

Ja, die Einstellungen sehen exakt so aus.

Für die funktionierende VPN-Verbindung die ich auf dem Smartphone benutze habe ich keine Ports freigeben müssen, das hat von Anfang an funktioniert. Und genau diese Daten benutze ich jetzt auch für Shrew, weil ich weiß dass sie funktionieren. Allerdings habe ich mir testweise einen neuen Benutzer mit neuer VPN in der Fritzbox angelegt, aber auch damit funktioniert die Verbindung über Shrew nicht.

 

[Datax]

Was mir aufgefallen ist, müsste unter den Netzwerkadapter nicht irgendein Virtual Adapter der VPN Software sein? Ich habe da momentan nur einen einzigen Eintrag, den meiner WLAN-Karte. Einen Ethernetanschluss hat das Gerät nicht. OS ist Windows 10 1909.

Ja, eigentlich sollte es dort einen Eintrag "Shrew Soft Virtual Adapter" geben.

Der "Shrew Soft VPN Client" installiert einen eigenen virtuellen Netzwerkadapter.

Ggf. mal den Shrew-Client deinstallieren und erneut installieren.
------------------------------------------------------------------------------------------------------------------------------
Noch eine Rückfrage:

Was hast du im "Shrew Soft VPN"-Client als Adresse des VPN-Servers angegeben?

Dort muss der FQDN (also der vollständige DNS-Name) bzw. die öffentliche IP-Adresse (falls statisch)
des Routers angegeben werden, über die der VPN-Server deiner FritzBox erreichbar ist.

Der FQDN ist also z.B. der vollständige DynDNS-Name, den du beispielsweise über den DynDNS-Dienst "MyFritz" von Hersteller "AVM" bekommen kannst.

Nicht, dass du noch von deinen bisherigen Tests her die 192.168.1.1 als Adresse des VPN-Servers
im Shrew-Client stehen hast...

Der "Shrew Soft VPN Client" erstellt übrigens bei einem frisch installierten Win10 tatsächlich keinen
"Shrew Soft Virtual Adapter" mehr, den man dann z.B. im Geräte-Manager sehen kann. Dass der Shrew-Client
aber korrekt installiert ist, kann man am "Shrew Soft Lightweight Filter" in den Eigenschaften des Netzwerkadapters sehen.

Für die Funktion des VPNs über den Shrew-Client müssen übrigens die beiden Dienste "ShrewSoft IKE Daemon" sowie "ShrewSoft IPSEC Daemon" gestartet sein.
----------------------------------------------------------------------------------------------------------------------------

 

[ENF]

Habe den Shrew-Client ein paar Mal neu installiert bzw. den Laptop neu gestartet und dann funktionierte es plötzlich . Irgendwo hatte ich gelesen, dass das manchmal helfen soll... Danke für deine/eure Hilfe bis jetzt.

Jetzt komme ich nur gleich zur nächsten Frage:
Ist es möglich SMB-Freigaben über eine VPN-Verbindung verfügbar zu machen? Also dass sie in der Netzwerkumgebung automatisch vorhanden sind/gefunden werden?

Ping funktioniert per VPN und auch der Zugriff per IP-Adresse im Explorer (\\192.168.1.XXX). Ist aber etwas umständlich bzw. man muss den Pfad und/oder IP-Adresse aller Geräte mit Freigaben im Zielnetz kennen.

 

[Datax]

Die automatische Anzeige von PCs in der "Netzwerkumgebung", die über die VPN-Verbindung erreicht werden können, ist meines Wissens nicht möglich, weil die Anzeige von PCs in der "Netzwerkumgebung"
von Windows über Broadcasts funktioniert.

Dein PC sendet an die Broadcastadresse des eigenen Subnetzes eine Nachricht,
auf die dann die PCs innerhalb deines Subnetzes antworten. Alle PCs, die auf diese Broadcast-Nachricht
geantwortet haben, werden dann in der Netzwerkumgebung angezeigt. Wenn du dann auf einen PC doppelklickst, werden die verfügbaren Freigaben angezeigt.

Broadcasts werden nicht geroutet, also nicht in andere Subnetze und somit auch nicht
in dein VPN-Netz weitergeleitet. Aus dem Grund kann per Broadcast kein PC ermittelt werden,
der sich so zu sagen "hinter" der VPN-Verbindung befindet, also über die VPN-Verbindung erreicht wird.

Wenn es um den Zugriff auf Netzwerkfreigaben geht, dann geht das wie gesagt meines Wissens ausschließlich per IP-Adresse bzw. per DNS-Name (im "Shrew Soft VPN Client" kann man auch dein DNS-Suffix und den dafür zuständigen DNS-Server angeben).