Shrew Soft VPN Client an Lancom VPN Router

Zum Verbinden des Shrew Soft VPN Clients (v2.2.2) an einen Lancom VPN Router (LCOS 9.10, LCMS 9.20) können folgende Einstellungen verwendet werden:

Am Router den Setup-Assistenten via LANconfig starten und den Eintrag Einwahl-Zugang bereitstellen (RAS, VPN) auswählen. Dann den Assistenten durchlaufen und dabei das Häkchen bei Beschleunigen Sie das Konfigurieren mit 1-Click-VPN entfernen, außerdem einen Fully Qualified Username (= Benutzername) sowie einen Preshared Key (= Passwort) definieren. Alle anderen Einstellungen können (müssen nicht) bei Bedarf angepasst werden.

Am Client eine neue Verbindung im VPN Access Manager anlegen:

  • General:
    • Host Name or IP Address = (öffentliche) Adresse des Routers;
  • Authentication:
    • Authentication Method = Mutal PSK;
    • Local Identity:
      • Identification Type = User Fully Qualified Domain Name, UFQDN String = <Benutzername>;
      • Remote Identity: Identification Type = User Fully Qualified Domain Name, UFQDN String = <Benutzername>;
      • Credentials: Pre Shared Key = <Passwort>;
  • Phase 1:
    • Exchange Type = aggressive,
    • DH Exchange = group 2,
    • Cipher Algorithm = aes,
    • Cipher Key Length = 256,
    • Hash Algorithm = sha1;
  • Phase 2:
    • Transform Algorithm = esp-aes,
    • Transform Key Length = 256,
    • HMAC Algorithm = sha1,
    • PFS Exchange = group 2;

Kommentare

DANKE! Hat mir sehr geholfen!Viele Grüße

Philipp

Hi,

... brings nicht hin, immer negotiation timeout :-( Muss unseren 1781VAW Router mit mit WebConfig konfigurieren, da es kein OS X LanConfig gibt (?). Auf dem Router läuft aus Sicherheitsgründen LCOS 10.12. Das UI des VPN Assistenten sieht hier auf einmal ganz anders aus als unter 9.10 (z.B. kriegt man die 1-Click Option gar nicht zu Gesicht). Kann es sein, dass es mit dem ShrewSoft Client gar nicht mehr gehen soll, vielleicht um die Leute dazu zu bringen den NCP Lancom advanced VPN Client zu kaufen?

Danke und Gruß keltas

Hallo Keltas. Für LCOS 10.x habe ich den Shrew Soft VPN Client bisher nicht getestet. Es kann aber gut sein, dass sich durch ein Firmware-Upgrade spezifische Parameter ändern. Sicherlich steckt dann Absicht dahinter. Aber ob hierfür technische oder wirtschaftliche Gründe vorliegen, entzieht sich meiner Kenntnis.

Bei mir hat nach langem Probieren folgendes mit ner 10er LCOS geholfen:

Einfach eine IKEv1 per Oneclick einrichten. Danach Benutzername und PW aus der INI auslesen. Die anderen Einstellungen kann man aus der Anleitung von oben übernehmen. -> Tunnel enabled

Danke für den Hinweis, nach dieser Vorgehensweise funktionierte die Einwahl bei mir sofort mit aktuellster Firmware (10.12.0382RU9).

Hallo, vielen Dank für die Anleitung und auch den letzten Hinweis, dass es grundsätzlich auch mit den aktuellen Versionen klappen sollte. Ich habe allerdings immer noch nur Timeout :/

Wäre cool, wenn ihr mal mit eurer exportierten Shrew-Konfigdatei vergleichen würdet und mir sagt was ich flasch über tragen habe:

n:version:4s:network-host:Gateway AUS DER VPN.inin:network-ike-port:500s:client-auto-mode:pulln:network-mtu-size:1380s:client-iface:virtualn:client-addr-auto:1s:network-natt-mode:enablen:network-natt-port:4500n:network-natt-rate:15s:network-frag-mode:enablen:network-frag-size:540n:network-dpd-enable:1n:client-banner-enable:1n:network-notify-enable:1n:client-dns-used:1n:client-dns-auto:1n:client-dns-suffix-auto:1n:client-splitdns-used:1n:client-splitdns-auto:1n:client-wins-used:1n:client-wins-auto:1s:auth-method:mutual-psks:ident-client-type:ufqdns:ident-server-type:ufqdns:ident-client-data:IkeIdStr AUS DER VPN.inis:ident-server-data:IkeIdStr AUS DER VPN.inib:auth-mutual-psk:SECRET AUS DER VPN.inis:phase1-exchange:aggressiven:phase1-dhgroup:2s:phase1-cipher:aesn:phase1-keylen:256s:phase1-hash:sha1n:phase1-life-secs:86400n:phase1-life-kbytes:0n:vendor-chkpt-enable:0s:phase2-transform:esp-aesn:phase2-keylen:256s:phase2-hmac:sha1s:ipcomp-transform:disabledn:phase2-pfsgroup:2n:phase2-life-secs:3600n:phase2-life-kbytes:0s:policy-level:auton:policy-nailed:0n:policy-list-auto:1

Vielen Dank

Hallo, danke für die Anleitung.

Leider funktioniert der Zugriff ebenfalls nicht wenn ich den Shrewsoft VPN Client v2.2.2 in o.g. Einstellungen verwende.LCOS Version 10.12.0382RU9 Modell 1782V. Ich habe ebenfalls ein manuelles Profil als IKEv1 erstellt mit benutzerdef. Parametern.

Damit läuft es ebenfalls wieder in den Negotiation Timeout. Ich wechsel zu OpenVPN.

Hallo, ich kann auch nur Danke sagen!

Kurz und alles enthalten was man braucht.

Äußerst erfreulich, in Zeiten, in denen im Internet jeder ungetestete Halbwahrheiten verbreitet, eine Anleitung zu finden, die es schnörkellos auf den Punkt bringt und funktioniert. Meinen herzlichsten Dank dafür, Herr Dr. Schimpf.

Hallo liebe Gemeinde, da ich mit Shrew schon sehr lange Erfahrung habe, hier noch ein Tipp von mir, der vieleicht für den einen oder anderen mit Problemen bei den LCOS Versionen über 10 recht hilfreich sein könnte. Im neuen Lcos werden nämlich keine Verbindungs-Listen mehr angelegt und Aufgrund dessen funktioniert der Connect einfach nicht mehr bei neu angelegten Usern. Wenn man vorhandene funktionierende Verbindungen hat (so wie bei mir) braucht man nur eine davon zu kopieren und die Einstellungen im Namen und dem richtigen Verbindungsparameter anzupassen. Danach waren meine neu angelegten Verbindungen auch hier einwandfrei funktionsfähig.

Für Die die keine alten vorhandenen Verbindungs-Listen haben:

Name   0Sekunden    90Sekunden  0.0.0.0   0.0.0.0     0    P-Name   Nein   Aggr. Mode  Aus    Server   Aus Aus    Manuell

Ich hoffe Euch das hilft dem Einen oder Anderen.

Gruß ChristianP

P.S.: Vielen Dank an Herrn Schimpf für diese hervorragende Anleitung!

Hallo, ich habe in Shrew Soft eine Enabled verbinding zum Lancom Router aufgebaut, soweit alles gut. Aber ich komme nicht durch den Tunnel. Mein Netzwerk ist 192.168.1.0/24 und die andere Seite ist 192.168.2.0/24 Ich erreiche da nichts, entweder ping, tracert oder http. In meine netzwerk eigenschaften finde ich eine verbindung mit IP: 192.168.2.179 aber der ist disabled... Hat jemand eine idee??

Piet Koenekoop

Hallo Herr Koenekoop,

Ist zwar schon ein paar Monate her, aber vielleicht nutzt es jemand was.

Im Lancom bei den VPN Verbindungs Parametern, Bei der PFS Gruppe die 2 (MODP-1024) auswählen, dann gehts durch den Tunnel.

Gruß

Helmut Falkenstein

Mit LCOS 10.32.0023RU1 werden neue Verbindungen über den Assistenten mit PFS-Gruppe 14 (MODP-2048) angelegt!

Also ggf. die Verbindugsparameter nach dem Anlegen der Verbindung nochmal checken...

Lg

Alex Rose

Hallo zusammen,

also ich bin leider echt am Verzweifeln mit der Shrewsoft -> Lancom Verbindung.

  • General:
    • Host Name or IP Address = mein Dyndns;
  • Authentication:
    • Authentication Method = Mutal PSK;
    • Local Identity:
      • Identification Type = User Fully Qualified Domain Name, UFQDN String = test@test.de;
      • Remote Identity: Identification Type = User Fully Qualified Domain Name, UFQDN String = test@test.de;
      • Credentials: Pre Shared Key = aus der Ini Alles was nach Secret= kommt;
  • Phase 1:
    • Exchange Type = aggressive,
    • DH Exchange = group 2,
    • Cipher Algorithm = aes,
    • Cipher Key Length = 256,
    • Hash Algorithm = sha1;
  • Phase 2:
    • Transform Algorithm = esp-aes,
    • Transform Key Length = 256,
    • HMAC Algorithm = sha1,
    • PFS Exchange = group 2;

 

Ich hatte auf dem Router geschaut hier war bei Verbindungsparameter erst PFS 14 hinterlegt. Hatte dies auf 2 geändert und auch einmal ganz deaktiviert und jeweils im Client umgestellt. Aber jedesmal kommt nur folgende Meldung:

config loaded for site 'pssssst.SPDNS.DE'attached to key daemon ...peer configurediskamp proposal configuredesp proposal configuredclient configuredlocal id configuredremote id configuredpre-shared key configuredbringing up tunnel ...negotiation timout occurredtunnel disableddetached from key daemon 

 

Client ist die Version 2.2.2 und der Lancom ist ein 1781VAW mit der LCOS Version 10.32.0164.

 

Hoffe das mir da jemand unter die Arme greifen kann.

Bei mir hat es geholfen in Phaee 2 den PFS auf group14 zu setzen und zusätzlich den/die DNS-Server bzw. WINS-Server einzutragen.

Mir macht etwas Sorge, dass es bei Shrew VPN Client seit 2013 keine Updates mehr gab.

Entweder das Teil war so gut, dass keine benötigt wurden, oder aber er muss inzwischen als buggy betrachtet werden. Ersteres wäre klasse, aber unwahrscheinlich. Funktionieren tut er aber echt gut.

Wie geht man damit um?

Hallo Christoph. Konkret kann ich dir keine Empfehlung geben. Vermutlich wurde die Weiterentwicklung der Software eingestellt. Wenn du magst, kannst du ja beim Hersteller nachfragen.

Eingestellte Software würde ich vorallem im Unternehmenseinsatz bzw. gerade im sicherheitskritischen Umfeld nicht empfehlen. Aber das ist nur meine persönlche Meinung.