Windows 7 mittels Shrew Soft VPN Client per VPN mit FRITZ!Box 7390 (FRITZ!OS 6) verbinden

In FRITZ!OS 6.00 (84.06.00) gibt es neuerdings die Möglichkeit, VPN-Verbindungen direkt in der Benutzeroberfläche und ohne Umweg über das Programm FRITZ!Fernzugang einrichten anzulegen. In der Benutzeroberfläche lassen sich anschließend die VPN-Einstellungen für iPhone, iPad, iPod touch sowie Android ab Version 4.0.4 (Ice Cream Sandwich) anzeigen. Alternativ kann man aber z.B. auch den Shrew Soft VPN Client verwenden, um die per FRITZ!Box-Benutzeroberfläche angelegte VPN-Verbindung vom PC aus zu nutzen. Der Shrew Soft VPN Client ist in der Standard-Edition kostenlos und im Gegensatz zu AVMs FRITZ!Fernzugang unter anderem auch für die 64-Bit Versionen von Windows verfügbar.

Im Folgenden zeige ich, wie man in FRITZ!OS 06.00 auf einer FRITZ!Box 7390 und mit dem Shrew Soft VPN Client (Version 2.2.2) unter Windows 7 eine VPN-Verbindung einrichtet.

1. FRITZ!Box-Benuzter hinzufügen/bearbeiten

In der Benutzeroberfläche der FRITZ!Box muss unter System -> FRITZ!Box-Benutzer ein Benutzer für den VPN-Zugang eingerichtet werden bzw. einem bestehenden Benutzer diese Berechtigung erteilt werden:

FRITZ_VPN_Option

Nach dem Hinzufügen/Bearbeiten wird hinter dieser Option ein Link angezeigt, über den die VPN-Einstellungen für diesen Benutzer abgerufen werden können:

FRITZ_VPN_Option_mit_Link

Für die Einrichtung des Shrew Soft VPN Client benötigt man:

  • Den Benutzernamen des FRITZ!Box-Benutzers,
  • das Passwort des FRITZ!Box-Benutzers,
  • die Server-Adresse (wird im VPN-Einstellungen-Popup angezeigt),
  • den IPSec Pre-Shared Key für den jeweiligen FRITZ!Box-Benutzer (wird ebenfalls im VPN-Einstellungen-Popup angezeigt) sowie
  • ggf. das lokale IPv4-Netzwerk der FRITZ!Box, falls man nicht den gesamten Datenverkehr über die VPN-Verbindung leiten möchte. (Das IPv4-Netzwerk kann man unter Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> IPv4-Adressen nachsehen, Standard ist 192.168.178.0/255.255.255.0.)

Hier noch ein Screenshot mit einem Ausschnitt aus dem VPN-Einstellungen-Popup, um zu verdeutlichen wo man Server-Adresse und IPSec Pre-Shared Key findet:

FRITZ_VPN_Einstellungen

2. VPN-Konfiguration in Shrew Soft VPN Client hinzufügen

Im VPN Access Manager des Shrew Soft VPN Client mit Edit -> Add eine neue VPN-Konfiguration anlegen und folgende Einstellungen vornehmen:

Reiter „General„:

Bei Host Name or IP Address die Server-Adresse der FRITZ!Box (siehe 1.) eintragen:

ShrewSoftGeneralTab

Reiter „Client„:

Keine Änderungen:

ShrewSoftClientTab

Hinweis: steffen hat am 05.08.2014 in einem Kommentar darauf hingewiesen, dass für eine erfolgreiche Verbindung mit der Labor-Firmware 06.10-28510 (und auch mit der vorherigen Labor-Firmware von Juni 2014) auf dem Reiter „Client“ bei NAT Traversal die Option force-rfc (anstelle von enable) ausgewählt werden muss. Bei mir funktioniert es in FRITZ!OS 06.04 mit beiden Einstellungen – enable oder force-rfc. Es wäre schön wenn andere Ihre Erfahrungen als Antwort auf steffens Kommentar posten.

Reiter „Name Resolution„:

Wenn der gesamte Datenverkehr über die VPN-Verbindung laufen soll, keine Änderungen:

ShrewSoftNameResolutionTabDNS2

ShrewSoftNameResolutionTabWINS2

Wenn dagegen nur der Datenverkehr ins lokale Netz der FRITZ!Box über die VPN-Verbindung laufen soll, dann müssen folgende Einstellungen vorgenommen werden:

Enable DNS deaktivieren:

ShrewSoftNameResolutionTabDNS

Enable WINS deaktivieren:

ShrewSoftNameResolutionTabWINS

Reiter „Authentication„:

Als Authentication Method Mutual PSK + XAuth auswählen; unter Local Identity bei Identification Type Key Identifier auswählen und bei Key ID String den Benutzernamen des FRITZ!Box-Benutzers (siehe 1.) eintragen:

ShrewSoftNameAuthenticationTabLocalIdentity

Unter Remote Identity bei Identification Type IP Address auswählen:

ShrewSoftNameAuthenticationTabRemoteIdentity

Unter Credentials bei Pre Shared Key den IPSec Pre-Shared Key des jeweiligen Benutzers (siehe 1.) eintragen:

ShrewSoftNameAuthenticationTabCredentials

Reiter „Phase 1„:

Keine Änderungen:

ShrewSoftPhase1Tab

Reiter „Phase 2„:

Keine Änderungen:

ShrewSoftPhase2Tab

Reiter „Policy„:

Wenn der gesamte Datenverkehr über die VPN-Verbindung laufen soll, keine Änderungen:

ShrewSoftPolicyTab

Wenn dagegen nur der Datenverkehr ins lokale Netz der FRITZ!Box über die VPN-Verbindung laufen soll, dann müssen folgende Einstellungen vorgenommen werden: Bei Policy Generation Level shared auswählen, Obtain Topology Automatically or Tunnel All deaktivieren und mit einem Klick auf Add eine Remote Network Resource entsprechend dem lokalen IPv4-Netzwerk der FRITZ!Box (siehe 1.) hinzufügen:

ShrewSoftPolicyTabExt

3. VPN-Verbindung aufbauen

Im VPN Access Manager des Shrew Soft VPN Client die eben erstellte VPN-Konfiguration auswählen und Connect anklicken. In dem erscheinenden VPN-Connect-Fenster muss man Benutzernamen und Kennwort des FRITZ!Box-Benutzers (siehe 1.) angeben:

ShrewSoftVPNConnect

Bei erfolgreicher Verbindung sollten folgende Meldungen in dem Fenster erscheinen:

Außerdem sollte der erfolgreiche Aufbau der VPN-Verbindung im Abschnitt Verbindungen auf der Seite Übersicht in der Benutzeroberfläche der FRITZ!Box angezeigt werden, wobei es einen Moment dauern kann bis der korrekte Status angezeigt wird:

FRITZ_VPN_Status

VPN-Konfigurationen für Shrew Soft VPN Client herunterladen

Alternativ zur oben beschriebenen Erstellung der VPN-Konfiguration im Shrew Soft VPN Client können diese VPN-Konfigurationen heruntergeladen, mit einem Texteditor angepasst und im Shrew Soft VPN Client importiert werden:

In den Dateien müssen die folgenden Zeilen ersetzt werden, wobei die letzte Zeile nur in der Datei „FRITZ VPN nur Datenverkehr ins lokale Netzwerk tunneln.vpn“ vorhanden ist:

Der IPSec Pre-Shared Key muss hier BASE64-kodiert eingetragen werden. Das Kodieren kann man z.B. bei base64encode.org vornehmen.

270 Gedanken zu „Windows 7 mittels Shrew Soft VPN Client per VPN mit FRITZ!Box 7390 (FRITZ!OS 6) verbinden

  1. Pingback: Fritzboxen mit FritzOS 6.x mit VPN einrichten | Das nie endende Chaos!

  2. Hallo,
    sehr gute Anleitung aber leider bekomme ich die Verbindung nicht hin. Meldung beim Aufbau: „network unavailable“
    Weiss jemand Rat?

    • Welche Version des Shrew Soft Clients und welche Windows-Version verwendest du denn? Welche Meldungen erscheinen noch im ‚VPN Connect‘-Fenster? Hast du die VPN-Verbindung manuell eingerichtet oder die Konfigurationsdateien heruntergeladen, angepasst und importiert? Soll der gesamte Datenverkehr getunnelt werden, oder nur der ins lokale FRITZ!Box-Netz?

      • Das selbe bei mir. Mit allen beschriebenen Varianten probiert. Shrew Soft Client Versio 2.2.2. Fritz Box7390, Fritz!OS 6.01. Momentan so eingestellt, dass nur der likale Datenverkehr getunnelt wird. Woindows Version 7 Professional / SP1. Die ShrewSoft-Clientmeldung sieht so aus:
        attached to key daemon …
        peer configured
        iskamp proposal configured
        esp proposal configured
        client configured
        local id configured
        remote id configured
        pre-shared key configured
        bringing up tunnel …
        network unavailable
        tunnel disabled
        detached from key daemon

        • Mal ins Blaue geraten, verwendest du vielleicht lokal und remote das gleiche IP-Netz? Also z.B. jeweils 192.168.178.0/24? Vielleicht gibt es damit ein Problem.
          Ansonsten habe ich entsprechend der Anleitung im Shrew Soft Wiki (https://www.shrew.net/support/VPN_Bug_Report_Windows#How_to_Include_Debug_Output_if_Requested) ein Log von einer erfolgreichen Verbindung erstellt: http://rays-blog.de/wp-content/uploads/2014/01/iked.log
          Das ist der Inhalt der iked.log Datei nach Starten des IKE Service, VPN Verbindung aufbauen (nur lokaler Traffic), Verbindung wieder Trennen und IKE Service beenden. Öffentliche IP, Benutzername und etliche hexadezimalen Werte in der Log-Datei habe ich ersetzt, weil ich nicht weiß welche Informationen dort eventuell noch versteckt sind. Ich denke aber das kann dir auch so schon helfen das Problem bei dir einzugrenzen.

          • Nein, die IP Adressen sind unterschiedlich. Lokal ein 192.168.11.xxx und die Fritz Box hat eben jene 192.168.178.xxx.
            Leider fang ich mit den von Dir genannten Wikis nichts an, so gut bin ich im Englischen nicht. Komisch halt, dass es mit dem Android-Tablet einwandfrei funktioniert, mit dem PC halt nicht. naja, wäre auch zu schön gewesen. 🙁

  3. Hi Ray,

    vielen Dank, deine Anleitung ist SUPER!
    Endlich bekomme ich überhaupt mal eine Verbindung zur Fritzbox.
    Leider scheint es aber noch nicht vollständig bei mir zu funktionieren,
    denn ich bekomme nicht die IP-Adresse der Fritzbox wenn ich verbunden
    bin. Habs mehrfach mit http://www.wieistmeineip.de/ geprüft, IP ist immer
    dieselbe, obwohl der Shrew-Client sagt „Tunnel enabled“.
    Hast du vielleicht noch einen Tip?

    Mit Android funktioniert es perfekt.
    Viele Grüße,
    Daniel

    • Hi Daniel,
      hast du denn die VPN-Verbindung auch so konfiguriert, dass der gesamte Datenverkehr über die VPN-Verbindung gesendet wird? Auf den Reitern „Name Resolution“ und insbesondere „Policy“ unterscheidet sich die Konfiguration, je nach dem ob alles oder nur der Traffic ins Netzwerk der verbundenen FRITZ!Box über das VPN geleitet werden soll.
      Viele Grüße! Ray

  4. Hallo Ray,

    VIELEN DANK für die Anleitung. Ich habe 2 Tage lang mit den verschiedenen Anleitungen im Netz herumprobiert, aber erst jetzt klappt’s!

    Herzliche Grüße,

    Stefan

  5. OI!
    Wie geil ist das denn. Hab mir schon die Finger wund gesucht in google, wegen diesem scheiss (android klappt super aber windows ist nicht ins vpn zu bringen)
    Alle labern nur das ginge nur mit dem drecks avm fernzugang einrichten (das unkomfortabelste Tool das ich seit langem gesehen hab, wie vor 20 jahren )
    Damn. Vielen Dank!!!!!!

  6. Update:
    aber nach den ersten kurzen tests:
    verdammt langsam die verbindung… hab verschiedene einstellungen probiert (Mtu erhöhen erniedrigen etc)aber ich bekomme gerade mal so 80kB/s hin auf ner leitung die an der dünnsten stelle mindestens das Zehnfache schafft.
    Tipps?

    • Hm, bei mir gibt’s da keine Probleme. Ich komme z.B. per Full-Tunnel auf 2,35 Mbps im Downstream und 0,55 Mbps im Upstream (speedtest.net), was auch in etwa dem entspricht, was das Internet hier gerade ohne VPN schafft (2,64/0,62). Die FRITZ!Box, zu der ich mich verbinde, ist mit VDSL 50 angebunden.

  7. Hey Ray,
    vielen Dank für die anschauliche Erklärung.
    Leider hat es bei mir aber auch nicht geklappt. Aus dem selben Grund wie bei Peter Schönamsgruber. Mit dem selben Fehlerbild bricht der Verbindungsaufbau ab

    tunnel disabled
    detached from key daemon

    Auch bei mir sind es unterschiedliche IP Adressen. Ich möchte die Verbindung von einem Windows 8.1 Laptop über UMTS aufbauen. FritzBox OS6.01
    Ich bin deinem Rat gefolgt und habe den Verbindungsversuch protokolieren lassen. Meiner Meinung nach bricht er aufgrund der Fehlermeldung „policy not found“ ab. Aber ich weiß nicht, was ich damit anfangen soll. In der Fritzbox habe ich bei dem User den Haken bei VPN gesetzt.
    Anbei siehst du den Logauszug

    14/01/17 11:55:27 >= : message 00000000
    14/01/17 11:55:27 -> : send IKE packet XXX.XX.3X.XX:500 -> XX.XXX.XX.XXX:500 ( 1202 bytes )
    14/01/17 11:55:27 DB : phase1 resend event scheduled ( ref count = 2 )
    14/01/17 11:55:32 -> : resend 1 phase1 packet(s) [0/2] XXX.XX.3X.XX:500 -> XX.XXX.XX.XXX:500
    14/01/17 11:55:37 -> : resend 1 phase1 packet(s) [1/2] XXX.XX.3X.XX:500 -> XX.XXX.XX.XXX:500
    14/01/17 11:55:42 -> : resend 1 phase1 packet(s) [2/2] XXX.XX.3X.XX:500 -> XX.XXX.XX.XXX:500
    14/01/17 11:55:47 ii : resend limit exceeded for phase1 exchange
    14/01/17 11:55:47 ii : phase1 removal before expire time
    14/01/17 11:55:47 DB : phase1 deleted ( obj count = 0 )
    14/01/17 11:55:47 DB : policy not found
    14/01/17 11:55:47 DB : policy not found
    14/01/17 11:55:47 DB : policy not found
    14/01/17 11:55:47 DB : policy not found
    14/01/17 11:55:47 DB : removing tunnel config references
    14/01/17 11:55:47 DB : removing tunnel phase2 references
    14/01/17 11:55:47 DB : removing tunnel phase1 references
    14/01/17 11:55:47 DB : tunnel deleted ( obj count = 0 )
    14/01/17 11:55:47 DB : removing all peer tunnel references
    14/01/17 11:55:47 DB : peer deleted ( obj count = 0 )
    14/01/17 11:55:47 ii : ipc client process thread exit …
    14/01/17 11:56:09 ii : hard halt signal received, shutting down
    14/01/17 11:56:09 ii : ipc server process thread exit …
    14/01/17 11:56:09 ii : network process thread exit …
    14/01/17 11:56:09 ii : pfkey process thread exit …

    Kannst du mir bitte noch einen Tipp geben, woran der Verbindungsaufbau scheitert?
    Vielen Dank schon mal im Voraus für die Unterstützung.
    Lars

    • Ach ja, weitere Angaben die evtl nützlich sein könnten.
      Es soll der gesamte Datenverkehr getunnelt werden.
      Den User in der Fritzbox habe ich unter dem Punkt VPN mit der Software „Fernzugang einrichten“ hinzugefügt. Aber den User unter System habe ich manuell hinzugefügt und das Häkchen bei VPN gesetzt.
      Auch bei mir funktioniert der Tunnelaufbau mit meinem Android Handy.

  8. Hey Ray,
    danke für deine schnelle Info. Das kann natürlich sein.
    Es handelt sich um ein Firmenlaptop mit einer UMTS Karte von Vodafone. Ich werde es gleich mal von zu Hause über LAN/WLAN testen.
    Ich werde zeitnah berichten.
    Viele Grüße
    Lars

    • Hi Ray,
      ich habe es soeben aus meinem WLAN getestet und es kam zum gleichen Fehler wie vorher über UMTS.

      policy not found

      Hast du noch eine Idee?
      Danke
      Viele Grüße, Lars

      • Hi, das gleiche Problem hatte ich auch beim Full Tunnel auch: „Policy not found“. Ich war kurz vorm verzweifeln und hatte es schon beinahe aufgegeben! Nach tagelangen Versuchen bin ich dann aber auf die Lösung gestoßen und die war im Endeffekt ganz einfach:
        Auf dem Tab „Name Resolution“ „Enable DNS“ aktivieren und als DNS Server Adress #1 und #2 MANUELL die IP Deines Routers im internen Netzwerk eintragen (192.168.0.1 bei mir). DNS Suffix kannst Du auf „Obtain Automatically“ setzen.
        Die Option „Obtain Automatically“ scheint für die Ermittlung der DNS Server Adressen einfach nicht zu funktionieren!

        Ich hoffe, das hilft 🙂

        Gruß,
        Michael

        • Hi, das gleiche Problem hatte ich beim Full Tunnel auch: „Policy not found“. Ich war kurz vorm verzweifeln und hatte es schon beinahe aufgegeben! Nach tagelangen Versuchen bin ich dann aber auf die Lösung gestoßen und die war im Endeffekt ganz einfach:
          Auf dem Tab „Name Resolution“ „Enable DNS“ aktivieren und als DNS Server Adress #1 und #2 MANUELL die interne IP Deines Routers im Remote Netzwerk eintragen (192.168.0.1 bei mir). DNS Suffix kannst Du auf „Obtain Automatically“ setzen.
          Die Option „Obtain Automatically“ scheint für die Ermittlung der DNS Server Adressen einfach nicht zu funktionieren!

          Ich hoffe, das hilft 🙂

          Gruß,
          Michael

  9. Hallo Ray,

    vielen Dank für die hilfreiche Anleitung. Endlich funktioniert der VPN-Zugang, aber nur fast…
    Ich kann die VPN-Verbindung zur Fritzbox aufbauen, bekomme auch eine lokale IP-Adresse aber kein Standard-Gateway zugewiesen, weder bei Android noch beim Shrewsoft-Client. Ich habe deine Config-Datei für gesamten Datenverkehr tunneln genommen.

    Grüße Dirk
    Bei Android kann ich die IP Der Fritzbox als Gateway eintragen, dann funktioniert alles bestens. Bei Windows 7 geht ds leider nicht. Irgend eine Idee woran das liegen könnnte ?

    • Hallo Dirk, bei mir wird auch kein Standard-Gateway zugewiesen (wenn nur der Traffic zum lokalen FritzBox-Netzwerk getunnelt wird) bzw. 0.0.0.0 als Standardgateway (bei Full-Tunnel). Soweit ich es bisher erkennen konnte funktioniert trotzdem alles wie es soll. Ich weiß nicht genau wie das intern funktioniert, aber auf jeden Fall wird bei erfolgreicher Verbindung z.B. auch die Routing-Tabelle verändert.
      Funktioniert die Verbindung denn bei dir? Grüße! Ray

  10. Vielen Dank für die super Erklärung. Funktioniert prima.
    Bei mir ist nur eine Sache interessant: Auf dem Nexus 7 und iPhone/iPad werden auch die Rechnernamen im internen Netzwerk aufgelöst. Auf dem Laptop nach Einwahl ins VPN wird nur fritz.box selber aufgelöst, alle anderen Namen aber nicht. Über die IP komme ich aber an alles dran. Hast du da eine Idee?

    • Das ist bei mir genauso, und ich wüsste auch gerne wie man das ändern kann. Ich habe gerade testhalber mal den Windows-Firewall Dienst beendet, das hat aber nichts gebracht.

  11. Super Anleitung. Nach einiger Wartezeit geht’s auch. Vermutlich muss die Box erst die Dienste neu initialisieren. Sofort nach Konfiguration ging es nicht, nach ca. 5 Min. dann ohne Probleme.
    Bisher gings nach Anleitung v. AVM mit Mutual PSK. Fand ich angenehmer, weil zusätzliche Eingaben beim Verbindungsaufbau nicht nötig waren. Anscheinend geht das so nicht mehr. Schade.
    Hier nochmal Lob für die klasse Anleitung! Vielen Dank, Ray!!!!!

  12. Im gegensatz zur AVM Anleitung ist diese hier a) technisch sinnvoller, b) funktioniert sie und c) kann man mit den neuen „Fritzbox-Benutzern“ arbeiten statt ein veraltetes Profil zu importieren.
    Fazit: Daumen hoch – vielen Dank!

  13. sauber, danke.

    Was mir fehlt, ist eine Möglichkeit, Benutzername/PW zu speichern.
    Und eben ein Tool, das etwas weniger konfiguration braucht als das da. Bei OS X ist’s fast so komfortabel wie für iOS/Android, sollte es sowas tatsächlich nicht auch für windows geben?

    • Der Benutzername wird gespeichert, wenn du im VPN Access Manager des Shrew Soft Clients unter File -> Preferences die Option Remember the connection user name aktivierst. Wenn du auch das Passwort (im Klartext) speichern willst, kannst du die VPN-Verbindung mittels Batch-Datei starten (siehe Connect to VPN from Command line (Win7)).
      Die VPN-Verbindungen zur Fritz!Box funktionieren mit IPSec mit XAuth, was von Windows nicht nativ unterstützt wird. Infos dazu gibt’s z.B. im Abschnitt Why doesn’t Microsoft implement IPSec tunnel mode with XAUTH and mode config? in den Virtual Private Networking FAQ.

  14. Bei mir funktionierts garnicht, er enabled zwar alles und so, aber er kann nicht mal den die Fritz-DNS erreichen…iwas stimmt nicht 🙁

    • Der DNS-Server der per VPN verbundenen FritzBox wird nur dann genutzt, wenn die VPN-Verbindung so konfiguriert wird, dass der gesamte Datenverkehr über die VPN-Verbindung geleitet wird (siehe oben). Und das Auflösen von Windows-Computernamen im entfernten lokalen Netzwerk funktioniert leider gar nicht, man muss mit den IP-Adressen arbeiten.

  15. Pingback: VPN mit FRITZ!OS 6.x und Windows | Fritzbox Anrufe

  16. Moin.

    Sehr gute Anleitung. Eine der wenigen die funktioniert. 🙂 Leider habe ich das Problem, das der VPN Client sagt „tunnel enabled“ in der Box aber als Status steht „wird aufgebaut“. Mein Rechner versucht nun zu tunneln, aber es kommt kein Paket durch. Jemand eine Idee?

    • Genau das gleiche Problem habe ich auch! Werde weiter probieren bzw. suchen aber wäre toll wenn hier eine Lösung gefunden werden könnte …

      Sonnst ein toller Artikel, bin schonmal weiter als mit der avm-Anleitung gekommen.
      Danke

  17. In der (ansonst sehr tollen) Anleitung ist ein kleiner Fehler drin. In dem 8. Bild von oben der Anleitung steht unter -Remote Identity- „Keine Änderungen“.
    Das stimmt so nicht, wenn man sich die Einstellungen des Bildes anschaut und die Einstellungen am lokalen Rechner. Ich habe die Einstellungen so gesetzt wie in der Grafik gezeigt und es funktioniert bestens.
    Ansonsten: Daumen hoch, die Anleitung ist klasse! Endlich ein simpler Weg anstatt den ganzen Müll (sorry) von AVM !

  18. Die Anleitung tut in der Tat viel besser als die von AVM.
    Ich bekomme damit eine Verbindung hin. Einzig ein kleines Problem gibt es,
    das DNS wird nicht automatisch gesetzt. Es geht wenn man 8.8.8.8 oder so einträgt, aber nicht wenn man „Obtain Automatically“ macht. Weiss jemand wo das das Problem liegt?

    Zweite Frage wäre, wieso tut das VPN nicht mit der von AVM vorgeschlagenen Methode, nur „Mutual PSK“. Dann müsste man nicht immer das Passwort eintippen. Mache ich das aber so, komme ich nur auf die Fritzbox, aber nicht ins Internet, d.h. man muss auf der „Policy“ Seite „Tunnel All“ abwählen.

    Neueste Version von Fritz OS und Shrew VPN

  19. Danke für die gute Anleitung!
    Ich hatte auch einige der hier angesprochenen Fehler unter Windows 7/64.
    Es liegt allerdings nicht an der Anleitung, da Shrewsoft in einer frisch aufgesetzten VM mit Win 8.1 einwandfrei funktioniert. (gleiche config wie unter Win 7)

    Ich habe festgestellt das bei mir unter Windows 7/64 die iked.exe abstürzt, welches wohl die angesprochenen Fehlermeldungen hervorruft.
    Keine Ahnung warum und wieso, Fakt ist ich bekomme es unter Windows 7/64 zum verrecken nicht ans laufen.

  20. Hallo,
    danke für die Anleitung mit ihr bekomme ich eine Verbindung.
    XP-Client ins lokale Netz via Fritzbox.

    Nur der Traffic ins Remote-Lokale-Netz soll via VPN gehen.

    Ich kann meinen Linux-Server anpingen (und von dort auch den XP-Client) und mich per Putty verbinden, aber ein

    netz use z: \\192.168.xxx.yyy\daten funktioniert nicht. Systemfehler 67.
    Die Firewall hatte ich schon deaktiviert

    Mit Fritzfernzugang funktioniert das „net use“ auf dem gleichen Rechner!
    Weiß jemand warum? Blockiert die Fritzbox Ports, wenn Einwahl nicht durch Fritzfernzugang erfolgt?

  21. Hallo,

    super Anleitung. Kurze Frage, kann man die Anfragezeiten hochsetzen? Wir nutzen VPN über Sat. Durch die hohen Ping Zeiten versagt da das AVM eigene Programm. Denke mal das man beim Shrew das ganze deutlich besser machen kann.

    Danke vorab
    Thomas

  22. hi.
    die anleitung geht mit dem offiziellen fritzos super.
    aber wer für die 7390 das neue labor-os nimmt, bekommt zwar den tunnel enabled, aber keinen defaultgateway von der fritzbox zurück gegeben und somit keine verbindung. android klappt super.

  23. Vielen dank für diese gute Hinweisen!
    Funktioniert bei mir ganz gut auf Windows 8.1 mit full-tunnel VPN

    Beschämend dass AVM diese info nicht selbst verfügbar stellt…..

  24. Eine super Anleitung! Es funktioniert sofort!
    System: W8.1 64bit), interner HUAWEI-Kartenslot (Vodafone-Datenkarte), Windos Mobil Broadband, Fritz-Box 7390
    Problem: Der AVM-Client (Fernzugang) arbeitet nicht mit den HUAWEI-Treibern des internen Modems zusammen, mit dem USB-Datenstick funktioniert der AVM-Client aber
    Lösung: Shrew Soft VPN Client und die Installation mit diesem Blog (wurde nach mehrmaligem Nachfragen, dann auch als unverbindlicher Tipp von der AVM-Support) gegeben)

  25. Hi Ray!

    Vielen Dank für diese Anleitung! Die hat mich schon einmal ein ganzes Stück weiter gebracht (im Gegensatz zu AVM).
    Nun habe ich aber ein Problem: Der Tunnel wird aufgebaut und ich bin verbunden; ich kann aber NIX, was in meinem lokalen Netz ist, anpingen! selbst der Router (eine 7390; 192.168.178.1) antwortet bei aufgebautem VPN nicht. Hast Du da eine Idee?

    Danke & LG,
    Jensemann.

  26. Kann mich dem letzten eintrag anschliessen.
    Verbindung steht aber keine Verbindung mehr möglich (auch net im lokalen netz).
    haben wohl wieder was verändert.

  27. Muss mich dem Vorredner anschließen.
    In der Fritzbox wird angezeigt das eine Verbindung besteht. Leider komme ich werde ins lokale Netzwerk noch ins Internet. Was ich komisch finde ist, dass ich den gespeicherten Loginlink von MyFRITZ aufrufen kann und mich dann in die Fritzbox einloggen und alles ändern kann. Verstehe ich nicht wirklich???

    • Hilft vielleicht der Hinweis von steffen? Davon abgesehen sind der „Zugang aus dem Internet“ auf die FRITZ!BOX-Oberfläche und der Aufbei einer VPN-Verbindung zwei verschiedene Dinge. Es ist daher möglich dass das eine funktioniert und das andere nicht.

  28. Wie ich schon sagte, super Anleitung ABER…
    Mit Win 7 und der Labor-Version geht die Anleitung aktuell nicht.
    Der Tunnel steht, aber kein Paket geht rein oder raus.
    Ich habe eine Weile herumprobiert und folgende Lösung gefunden – bitte testen und Anleitung updaten:
    Reiter „Client“ NAT Traversal von „enabled“ auf „force-rfc“ ändern.
    Damit geht’s auch unter Win 7 & Labor-Firmware.

    • Hallo steffen, danke für den Hinweis! Ich habe ihn zur Anleitung hinzugefügt. Mit welcher Labor-Firmware genau hast du das festgestellt?

    • Bei mir läuft es auch nur mit „enabled“. Meine Kombination:

      FB 7490 / OS 6.30 / Windows 10 Pro 64bit / Shrew Soft VPN CLient 2.2.2

    • Reiter “Client” NAT Traversal: “force-rfc”
      Laborfirmware: 06.36-32151

      Ich nutze nur den direkten Zugriff auf mein Netz, ohne DNS, etc.

      PS: als ich „enabled“ eingestellt hatte, konnte ich mich mit der Fritz!Box verbinden (lt. VPN-Connect-Statusfenster), aber nicht auf mein Netzt zugreifen.

      PPS: Insgesammt eine sehr tolle Anleitung!!!

    • Bei mit (Fritz! 6490 an Vodafone mit IPv4) wird die Verbindung etwas schneller, vor allem bekomme ich bessere ping-Zeiten, wenn ich „force-rfc“ einstelle. Leider ist es immer noch sehr viel langsamer als mit dem FRITZ!Fernzugang (dort bekomme ich 4Mb/s down und 4Mb/s up, mit Shrew nur 1Mb/s down und 0,2Mb/s up).

      Mit der Anleitung von AVM bekomme ich es übrigens nicht hin, alles zu tunneln, auch mit den unten zu findenden Änderungen nicht.

  29. Danke für die Anleitung! Im Gegensatz zur Anleitung von AVM verbindet sich mein Win 8.1 32-Bit Client zumindest und bei bei der Fritzbox 6.05 wird die Verbindung auch angezeigt. Leider kann ich weder per IP-Adresse auf die Fritzbox zugreifen, noch kann in Webseiten aufrufen – nichts geht. Den “force-rfc” Hinweis habe ich auch probiert, keine Änderung.

  30. Hi,

    habs auch bei mir mal getestet (ShrewSoft Client v 2.2.2) unter Windows 7 (64bit) und FritzOS 06.04.

    Config: alle Daten sollen durch den Tunnel gehen

    Ergebnis:
    – Tunnel wird aufgebaut
    – DNS funktioniert nicht
    – Fritzbox selbst kann ich anpingen
    – andere Adressen im entfernten LAN nicht
    – Webseite baut sich gar nicht auf im Browser

    Hat jemand einen Tip?

    • Habe hier genau das selbe Problem, Win7(64bit), FritzOS 06.04.
      „fritz.box“ kann ich auch generell nicht auflösen, klappt das bei irgendjemand?

  31. Echt super Anleitung, die auch klappt und nicht das Fernzugrifftool benötigt.

    Hat jemand eine Ahnung wie ich unter Android mit VPNC oder VPNzilla eine Verbindung eingerichtet bekomme? Muss ich ein Profil erst exportieren und dann in der Config Xauth aktivieren? Ich hatte VPNC Widget auf meiner alten Box am laufen. Da hab ich die Konfig aber noch mit dem AVM Tool erstellt.

    Direkt über Android einen VPN aufzubauen, möchte ich nicht. Hat mehrere Nachteile.

  32. Hallo.

    Vielen Dank für diesen Artikel. Ich besitze eine 7390 und verwende Windows 8.1 – leider nicht die Pro Version. Nachdem ich bereits viele Hilfen zur Einrichtung einer VPN-Verbindung zur Fritzbox gelesen haben, aber nie einen Erfolg verbuchen konnte, hat es jetzt geklappt!!!!!

    Diese Anleitung ist verständlich und funktioniert tatsächlich. Danke!

  33. Hi Ray, danke für die tolle Anleitung, diese wird sicher vielen helfen! 🙂

    Ich hätte noch eine Erweiterung für dich:
    Bei meiner FRITZ!Box 3390 (OS 06.04) ist es z.B. so der Fall, dass ich keine IPv4 DNS zugewiesen bekomme, nur einen IPv6 DNS, und genauso wenig einen DNS-Suffix (obwohl der IPSec Client das eigentlich selbst regeln sollte).

    Da die FRITZ!Box aber einen eigenen DNS-Proxy hat, muss man die IP-Adresse manuell eintragen: „Name Resolution -> „Enable DNS“ -> „Obtain Automatically“ deaktivieren -> „Server Address #1“ -> FRITZ!Box IP-Adresse eintragen

    Somit werden alle DNS-Anfragen von der FRITZ!Box beantwortet, und es ist ab jetzt auch möglich die Domain „fritz.box“ / „fritz.nas“ etc. aufzulösen.

    Ob der DNS greift, kann man über „WIN+R“ -> cmd -> „ipconfig /all“ -> unter „Shrew Soft Virtual Adapter“ ablesen.

    Hoffe das hilft weiter!
    lg
    Andreas

    • Hmm also die Anleitung funktioniert solange man alles über die Fritzbox leitet.
      sobald man Policies einrichtet (Nur Heimtraffic durch das VPN) gehts nicht mehr.
      FRITZ!Box Fon WLAN 7270 v2
      FRITZ!OS 06.05
      Shrew: 2.2.2.
      OS:Windows 7 64bit

  34. Hi,

    ich glaube, ich hab das Problem gefunden. Als Client bekomme ich beim VPN Verbindungsaufbau eine IP per DHCP zugewiesen. So wie es aussieht, vergibt meine FritzBox diese IP doppelt.

    Mein DHCP IP Range ist 10.10.10.201 – 10.10.10.240

    Die ersten vier IP Adressen sind bei mir von lokalen DHCP Geräten zu Hause normalerweise belegt. (201 – 204)

    Wenn ich mich jetzt mit VPN verbinde, müsste ich die 10.10.10.205 zugewiesen bekommen, das ist aber nicht der Fall, ich bekomme imme die erste im Range. Somit ist die dann doppelt belegt. Hab zum Test mal die vier Geräte ausgeschaltet, dass der gesamte DHCP Range frei ist: Jetzt klappts.

    Kann das jemand bestätigen?

  35. Danke für die tolle Anleitung. Mit dem Shrew-Client Version 2.2.2 bekomme ich die Meldung „tunnel enabled“, aber in der Fritz!BOx Übersicht (7360, FRITZ!OS 06.03) bekomme ich die Meldung VPN „wird aufgebaut“. Mit iOS und Android funktioniert die VPN-Verbindung.
    Ich habe die gleichen Probleme auf meinem PC unter Windows 7 64Bit und auf meinem Netbook Windows 7 32Bit. Sowohl mit gesamten Datenverkehr über die FritzBox als auch nur lokalen Datenverkehr.

    • Habe genau die selbe Situation! FB 7490 mit Fritz-OS 6.20: Bleibt bei „wird aufgebaut“ in der FB hängen obwohl Shrew „aufgebaut“ meldet und der Tunnel nicht funktioniert. Mit Android funktioniert es auch bei mir.

  36. bei mir ebenso mit labor 06.10-28634 BETA und Win8.1 Pro. Bei Aktivierung einer Policy, also der Versuch nicht alles über shrewsoft zu tunneln bleibt der Status in der Fritz-Box auf „wird aufgebaut“, shrewsoft spricht „tunnel enabled“, aber ping in das entfernte Netz ist nicht möglich.

    Grüße

  37. Mit den Vorgaben hatte ich bei Shrew 2.2.2, Win8.1-64bit und Fritzbox 7490 OS 6.20 auch das Problem, dass die FB (unter Internet, Online-Monitor bei Fernzugang (VPN)) nur bis „wird aufgebaut“ kommt und der Tunnel nicht funktioniert.
    Folgende abweichende Shrew-Einstellungen funktionieren bei mir:
    – Client NAT Traversal: force-rcf
    – Phase 1
    Cipher Algorithm: aes
    Cipher Key Length: 256
    Hash Algorithm: sha1
    Key Live Time Limit: 3600
    – Phase 2
    Transform Algorithm: esp-3des
    HMAC Algorithm: md5
    Compress Algorithm: deflate
    Möglicherweise müssen auch nur die Phase2-Einstellungen geändert werden.

    • DAS war die Lösung! Danke!!

      Ewig gesucht, so hat es endlich geklappt.
      Fritzbox 7490, OS6.60
      Win7 64bit, Shrew 2.2.2.
      Die Einstellungen force-rfc, sowie Phase 2 genügen, Phase 1 konnte auf Standard bleiben.

  38. Ich wollte den Zugriff nur auf das Heimnetzwerk und nicht generell allen Verkehr über die Fritzbox.
    Ich hatte nach Befolgen der Anleitung auch das Problem, daß der Tunnel zwar aufgebaut wird, aber kein Verkehr und kein ping. Ich hab mir den VPN Trace mal angeschaut und Fehler bei Phase 2 gefunden. In einem VPN template habe ich gefunden PFS all. Deshalb habe ich bei Phase 2 Reiter PFS von disabled (wie hier in der Anleitung angegeben) auf PFS Exchange AUTO gesetzt.
    Danach lief es bei mir.

    Hoffe das hilft einigen hier.
    Denis.

  39. WOW.
    It works, in the end!!
    I spent hours trying to make it work with AVMs insructions but only succeeded following this post.
    Thank you very much!!
    My Fritz!Box is 7490 model, firmware FRITZ!OS 06.10-28616 BETA

    Marco from Italy

  40. Hallo,
    klasse Anleitung.
    Hat schon mal jemand beim Fritz!OS 06.20 die Diffie-Hellman-Gruppe auf 15 gestellt.
    Wenn ich das in der Phase 1 umstelle wird die Verbindung leider nicht aufgebaut.
    Muss ich da noch andere Dinge Ändern oder eintragen?
    Ich der Fritz!Box kann ich dazu ja nichts einstellen.
    Gruß
    Chris

  41. Hallo,
    die Konfiguration hat soweit sehr gut geklappt. Wenn der Tunnel steht, baue ich darüber eine RDP-Verbindung zu einem Terminalserver her. Räumlich / technisch bedinngt geht das Ganze nur per WLAN, wobei die WLan-Verbindung prinzipiell sehr gut ist. Leider bricht hin und wieder der Tunnel weg. An welcher Schraube könnte man da noch drehen? Energiesparoptionen sind deaktiviert…

    Peter

  42. Hallo,
    ich habe noch ein wenig getestet.
    Mit DH Group 2 klappt alles wie es soll.
    Wenn ich DH Group 15 einstelle scheitert schon die Phase 1 beim Verbindungsaufbau.
    Phase 1 DH Group 2 und Phase 2 DH Group 15 wird eine Verbindung aufgebaut, es können aber keine Daten übertragen werden.

  43. Hallo,
    vielen Dank für die Anleitung! Ich bin wie manch anderer hier auch lange daran verzweifelt, dass der Tunnel zwar aufgebaut wurde, jedoch kein Traffic möglich war (falls nicht alles getunnelt werden sollte).
    Mein Fehler war, dass ich die Einstellung unter Policy (Policy Generation Level) übersehen habe. Diese muss auf shared stehen. Dann funktioniert natürlich auch alles wie bei den meisten hier : ) Ich denke, es wird leicht übersehen…
    Getestet mit FB 6.04 und 6.20

    Olli

    • danke für den Hinweis – das hat das Problem behoben, dass der Tunnel zwar aufgebaut wird, aber keine Daten drüber laufen (ping auf die lokale IP der angewählten FritzBox funktioneirte nicht).
      Anders als es in der Anleitung steht, muss das „policy generation level“ auch dann auf „shared“ eingestellt werden, wenn der gesamte Internetverkehr über die entfernte FritzBox laufen soll.
      (Fritz!OS 06.20 + Shrew 2.2.2 in Windows 7 64bit)

      • Hi, danke für die Anleitung. Ich hab hier aber was ganz komisches. Es existieren zwei Boxen bei mir. Eine 7390 (hängt an Unitymedia) und eine 7270 (hängt an VodafoneDSL). Beide im gleichen Netz. Habe nicht den kompletten Verkehr über den Tunnel geleitet. Bei der Verbindung zur 7390 klappt alles ohne Probleme, bei der Verbindung zur 7270 bekomme ich nur den Tunnel, kann aber ausser der 7270 nichts anderes in meinem Netz erreichen. Werd noch ein wenig probieren …

    • Danke Olli!
      War schon am verzweifeln, weil der Tunnel weder mit Fritz!Fernzugang noch mit Shrew funtioniert hatte. Ich hatte genau das gleiche Problem: Verbindung wird aufgebaut, in der FB als Verbunden angezeigt, aber es war keine Kommunikation möglich. Das Ändern der Policy auf „shared“ hat bei mir Abhilfe geschaffen!

  44. Also die lokale Verbindung bekomme ich prima hin, sobald ich jedoch für den gesamten Verkehr konfiguriere, geht weder lokal noch Inet durch den Tunnel. Hat jemand eine Idee?

    • Du könntest einmal folgende Veränderung für den Full-Tunnel ausprobieren: Den Haken bei „Obtain Topology Automatically or Tunnel All“ entfernen und stattdessen folgenden Eintrag bei „Remote Network Ressource“ hinzufügen:
      – Type: Include
      – Address: 0.0.0.0
      – Netmask: 0.0.0.0
      Ändert das etwas?

      • Hatte ich schon probiert. Ändert leider nichts. Ich habe auch bei den DNS-Einstellungen von Auto auf die Router IP gestellt. Funktioniert leider auch nicht. *SEUFZ*

        • Ich habe es mittlerweile hinbekommen: Einfach die oben zum Download angebotenen Cofigs genommen. Dachte aber, dass mein funktionierender Tunnel für den Lokalverkehr einfach mit Klick auf tunnel all und mit Haken bei DNS und WINS I-Netverkehrtauglich gemacht werden kann. Dem war aber nicht so, warum auch immer. Danke für die Configs.

  45. Hi, habä mir auch die Vorlagen heruntergeladen bearbeitet. Dabei hatte ich einProblem: weil ich zunächst die Änderungen an der Vorlage im Texteditor gemacht habe und den Pre Shared Key dort im Klartext reingetippt habe hat es nicht funktioniert. Hat ein bisschen gedauert, bis ich verstanden habe, dass ich die Änderungen in der geladenen Config in Shrew machen muss… Falls das auch jemandem passiert, wollte ich es mal erwähnt haben. Sollte man vielleicht für Dummies dazu schreiben… Hoffentlich hilft es jemandem! Shrew hat nämlich dadurch (natürlich) die Verbindung nicht aufgebaut. Grüße an alle und DANKE!!!

    • Freut mich dass es am Ende geklappt hat! Der Pre-Shared Key muss in der Textdatei BASE64-kodiert eingetragen werden, darum steht dort auch der Platzhalter „[BASE64-kodierter IPSec Pre-Shared Key]“. In der Anleitung oben steht auch ein Link zu einer Seite, wo man den Key kodieren kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.