Computer: VPN mit ShrewSoft

Gehört zu: VPN Virtual Private Network
Siehe auch: VPN mit der FritzBox, Windows 10 einrichten
Benutzt: Fotos von Flickr

Stand: 19.03.2022

VPN mit ShrewSoft

Von der Firma ShrewSoft gibt es einen kostenlosen VPN-Client, der unter Windows läuft.

Damit kann ich meinen Windows-Laptop als VPN-Client mit meinem VPN der Fritzbox (als sog. VPN Gateway) über das Internet verbinden.

Um so eine VPN-Verbindung herszustellen, wird das IPsec-Protokoll benutzt.

Download und Installation des ShrewSoft Clients

Download beim Hersteller unter: https://www.shrew.net/download/vpn

Ich habe installiert die Version 2.2.2, diese hat signierte Windows-Treiber (ab Version 2.1.6).

Zur Installation sind Administratorrechte erforderlich, zum täglichen Betrieb muss man kein Administrator sein.

This software uses the OpenSSL Toolkit ( http://www.openssl.org ) to provide strong cryptography.

Bei der Installation des VPN-Clients werden auch folgende Windows-Services installiert:

  • ShrewSoft IKE Daemon
  • ShrewSoft IPsec Daemon

Für das Aktivieren eines VPN-Tunnels  werden diese Windows-Services benötigt und müssen demzufolge auf “Wird ausgeführt” stehen.

Ausserdem sind noch weitere Windows-Services wichtig:

  • IKE- und AuthIP IPsec Schlüsselerstellungsmodule
  • IPsec-Richtlinien-Agent
  • cc

Konfigurieren des ShrewSoft Clients

Man will sich ja mit einem bestimmten VPN-Gateway verbinden. Dieses VPN-Gateway (z.B. eine Fritzbox) sagt einem dann hoffentlich, mit welchen Parametern man hier konfigurieren muss…

Die mit dem ShrewSoft-Client erstellten Konfigurationen (diese werden “Sites” genannt) werden  im Ordner:

C:\Users\<user>\AppData\Local\Shrew Soft VPN\sites

als Text-Dateien gespeichert.
Ich habe Sicherheitskopien dieser Konfigurationsdateien in: “D:\data\ShrewSoft VPN” kopiert.

Dabei beschreibt die Web-Seite: https://www.ip-phone-forum.de/threads/fritz-box-fernzugang-und-shrewsoft-vpn-client-schritt-f%C3%BCr-schritt.237484/ sehr schön, wie man den ShrewSoft-Client konfigurieren muss, um damit ein VPN zur Fritzbox als sog. VPN-Gateway aufzubauen.

Wenn ich als neue Site eine Fritzbox als VPN-Gateway anlegen will, gebe ich folgenden ein:

Im Reiter “General”

Hostname or IP address: <mein hostname bei dyndns> Port: 500

Mein Hostname ist der DNS-Name der externen Schnittstelle meiner FritzBox, den ich über einen Dynamischen DNS-Dienst bekomme.

Auto Configuration: “DHCP over IPsec”   oder ” IKE config pull”
Mit der Fritzbox als VPN-Gateway sollte “IKE config pull” gewählt werden

Local Host

Adapter Mode: “Use an existing adapter and current address”

Im Reiter “Client”

nix

In Reiter “Name Resolution”

Enable DNS

Im Reiter “Authentification”

Unter-Reiter: “Local Identity”, “Remote Identity”, “Credentials”

  • Local Identity
    • Identification Type: Key Identifier
    • Key ID String: dkrachtw
  • Remote Identity
    • Identification Type: IP Address
    • Address String: (use a discovered remote host address)
  • Authentication Method:
    • Die Fritzbox als VPN-Gateway unterstützt: “Mutual PSK + XAuth
    • Pre Shared Key: ….

Herstellung einer VPN-Verbindung “Connect”

Problem 0: “no DHCP response from gateway”

Im Reiter “General” ist unter “Auto Configuration” gewählt worden “DHCP over IPsec” aber das VPN-Gateway kann das nicht – wie z.B. die Fritzbox.

Problem 1:

Wenn nach dem Klicken auf “Connect” eine Fehlermeldung kommt mit in etwa diesem Inhalt:  “…could not … to IKE daemon…” müssen die ShrewSoft Dienste (Dienst = Daemon) gestartet werden.

Abbildung 1: Windows 10: Dienste –> “ShrewSoft IKE Daemon” (Flickr: WindowsDienste_ShrewSoft.jpg)

WindowsDienste_ShrewSoft.jpg

ShewSoft Daemons IKE & IPSEC

Problem 2:

Dann bekam ich nach dem Klicken auf “Connect” die Fehlermeldung: “… cannot resolve addrees for host…”
Wenn ich dann anstelle des Hostnamens “kr8.zapto.org” die IP-Adresse angebe (z.B. 84.162.89.224), wurde der VPN-Tunnel dann aufgebaut.

Das ist anscheinend ein DNS-Problem. Nachdem ich die Konfigurations-Datei so wie oben gezeigt geändert hatte, hat es wieder problemlos funktioniert.

Nachdem ich die Eintragungen zu “Client” gemäß dieses Beispiels bei mir angepasst hatte lief es OK.
...
n:network-notify-enable:1
n:client-dns-used:0
n:client-dns-auto:1
n:client-dns-suffix-auto:1
n:client-splitdns-used:0
n:client-splitdns-auto:1
n:client-wins-used:0
n:client-wins-auto:1
n:phase1-dhgroup:2
n:phase1-life-secs:86400
...

Problem 3:

In der Beschreibung der Fritzbox zu VPN steht, dass eine VPN-Verbindung nur zwischen zwei verschiedenen IP-Netzen aufgebaut werden kann.
Wenn ich die Fritzbox (als VPN-Server) über ihre externe IP-Adresse anspreche (über einen DynDNS-Dienst) und mit meinem VPN-Client auf dem Windows-Notebook über WLAN auf einen “Mobile Hotspot” meines Mobiltelefons auf das Internet zugreife, sollten die IP-Netze wohl verschieden sein. Ein Problem könnte wohl nur entstehen, wenn ich alles zuhause im lokalen Netz (192.168.1.0) testen würde…