Meerdere accounts in de Fritzbox VPN server configureren

2606
fritzbox vpn setup

fritzbox vpn server

In mijn vorige zeer uitgebreide handleiding om een VPN-account in de Fritzbox in te stellen, heb ik een verwijzing gemaakt naar de mogelijkheid om meerdere accounts in de Fritzbox VPN server te configureren.

Nadat mijn collega geslaagd was de Fritzbox VPN-server in te stellen aan de hand van mijn handleiding, wenste hij toch een toelichting hoe er meerdere accounts ingesteld kunnen worden in de Fritzbox. Speciaal voor hem beschijf ik hoe je dit voor elkaar krijgt.



Dit artikel gaat er vanuit dat je inmiddels mijn uitgebreide artikel over de Fritzbox VPN server configuratie gelezen hebt.

Allereerst vind je hieronder de voorbeeldcode voor het configuratie-bestand dat ik eerder gebruikte in mijn artikel. Onderstaand configuratie-bestand bevat de instructies voor 1 VPN account, met de volgende gegevens:

username: ‘gadgetgoeroemac’ in dit voorbeeld

wachtwoord: ‘test1234’ in dit voorbeeld

groepsnaam: ‘gadgetgoeroes’ in dit voorbeeld

geheime sleutel: ‘LO,&#ixvMUd+AKaPUY9LU87OeO3N’ in dit voorbeeld

IP-adres voor het VPN-account: 192.168.178.201 in dit voorbeeld

(Als je met een apparaat verbinding maakt met de Fritzbox VPN server, dan zal deze een Fritzbox IP-adres toegewezen krijgen. De normale reeks IP-adressen begint in de Fritzbox van 192.168.178.1 t/m 192.168.178.200. Deze reeks is gereserveerd voor apparaten in het interne netwerk van de Fritzbox, dus bijvoorbeeld voor WiFi-apparaten op de fysieke locatie van de Fritzbox.

De VPN-server laat alleen hardware toe binnen de reeks 192.168.178.201 t/m 192.168.178.255. Voor elk extra account dat je aanmaakt kies je daarom voor de veilige marge een IP-adres dat begint met 192.168.178.201 en steeds een stap hoger, dus 192.168.178.202, etc.)

Code voor 1 account:

vpncfg {
	connections { 
		enabled = yes;
		conn_type = conntype_user; 
		name = "gadgetgoeroes"; 
		always_renew = no; 
		reject_not_encrypted = no; 
		dont_filter_netbios = yes; 
		localip = 0.0.0.0; 
		local_virtualip = 0.0.0.0; 
		remoteip = 0.0.0.0; 
		remote_virtualip = 192.168.178.201; 
		remoteid {
			key_id = "gadgetgoeroes";
		} 
		mode = phase1_mode_aggressive; 
		phase1ss = "all/all/all"; 
		keytype = connkeytype_pre_shared; 
		key = "LO,&#ixvMUd+AKaPUY9LU87OeO3N"; 
		cert_do_server_auth = no; 
		use_nat_t = yes; 
		use_xauth = yes; 
		xauth {
			valid = yes; 
			username = "gadgetgoeroemac"; 
			passwd = "test1234";
		}
		use_cfgmode = yes; 
		phase2localid { 
			ipnet {
				ipaddr = 0.0.0.0; 
				mask = 0.0.0.0;
			} 
		}
		phase2remoteid {
			ipaddr = 192.168.178.201; 
		}
		phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
		accesslist = "permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255", 
					 "permit ip any 192.168.178.201 255.255.255.255";
	}
	ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
						"udp 0.0.0.0:4500 0.0.0.0:4500";
}

 

Indien je meerdere VPN-accounts in wil stellen via het configuratie-bestand, dan zul je de volgende gegevens moeten beschrijven:

username

wachtwoord

groepsnaam

geheime sleutel

IP-adres voor het VPN-account

 

Om het niet heel ingewikkeld te maken, adviseer ik het volgende:

Verzin een nieuwe gebruikersnaam en wachtwoord voor het nieuwe extra account.


 

 

Ik zal nu een voorbeeld geven van de gegevens die ik invul voor een tweede account:

username: gadgetgoeroeiphone

wachtwoord: test1234

groepsnaam: gadgetgoeroes => zelfde dus als het eerste account

geheime sleutel: LO,&#ixvMUd+AKaPUY9LU87OeO3N => zelfde dus als het eerste account

IP-adres voor het VPN-account: 192.168.178.202 => let op het laatste getal, die is met 1 toegenomen t.o.v. het eerste account

Alles tezamen zou dat in de code er als volgt uit zien:

vpncfg {
	connections { 
		enabled = yes;
		conn_type = conntype_user; 
		name = "gadgetgoeroes"; 
		always_renew = no; 
		reject_not_encrypted = no; 
		dont_filter_netbios = yes; 
		localip = 0.0.0.0; 
		local_virtualip = 0.0.0.0; 
		remoteip = 0.0.0.0; 
		remote_virtualip = 192.168.178.201; 
		remoteid {
			key_id = "gadgetgoeroes";
		} 
		mode = phase1_mode_aggressive; 
		phase1ss = "all/all/all"; 
		keytype = connkeytype_pre_shared; 
		key = "LO,&#ixvMUd+AKaPUY9LU87OeO3N"; 
		cert_do_server_auth = no; 
		use_nat_t = yes; 
		use_xauth = yes; 
		xauth {
			valid = yes; 
			username = "gadgetgoeroemac"; 
			passwd = "test1234";
		}
		use_cfgmode = yes; 
		phase2localid { 
			ipnet {
				ipaddr = 0.0.0.0; 
				mask = 0.0.0.0;
			} 
		}
		phase2remoteid {
			ipaddr = 192.168.178.201; 
		}
		phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
		accesslist = "permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255", 
					 "permit ip any 192.168.178.201 255.255.255.255";
	}{ 
		enabled = yes;
		conn_type = conntype_user; 
		name = "gadgetgoeroes"; 
		always_renew = no; 
		reject_not_encrypted = no; 
		dont_filter_netbios = yes; 
		localip = 0.0.0.0; 
		local_virtualip = 0.0.0.0; 
		remoteip = 0.0.0.0; 
		remote_virtualip = 192.168.178.202; 
		remoteid {
			key_id = "gadgetgoeroes";
		} 
		mode = phase1_mode_aggressive; 
		phase1ss = "all/all/all"; 
		keytype = connkeytype_pre_shared; 
		key = "LO,&#ixvMUd+AKaPUY9LU87OeO3N"; 
		cert_do_server_auth = no; 
		use_nat_t = yes; 
		use_xauth = yes; 
		xauth {
			valid = yes; 
			username = "gadgetgoeroeiphone"; 
			passwd = "test1234";
		}
		use_cfgmode = yes; 
		phase2localid { 
			ipnet {
				ipaddr = 0.0.0.0; 
				mask = 0.0.0.0;
			} 
		}
		phase2remoteid {
			ipaddr = 192.168.178.202; 
		}
		phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
		accesslist = "permit ip 192.168.178.0 255.255.255.0 192.168.178.202 255.255.255.255", 
					 "permit ip any 192.168.178.202 255.255.255.255";
	}
	ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
						"udp 0.0.0.0:4500 0.0.0.0:4500";
}

Elk nieuw account open je door de { en sluit je ook weer af met }. Na het afsluiten kun je het nieuwe account plakken na het vorig afgesloten account in het configuratie-bestand.

Het gedeelte dat begint met ‘ike_forward_rules =‘ is het deel waarmee het configuratiebestand eindigt.

Indien je vragen hebt, laat een bericht achter en anders apprecieer ik een Like of Google + of deel het op je eigen website :)

like of deel dit artikel gadgetgoeroe


 

DELEN
Al sinds z'n 5e geinteresseerd in alles wat met computertechnologie te maken heeft. Heeft 100-en computers gerepareerd en geassembleerd. Houdt er ook van om gadgets te tweaken en op de hoogte te blijven van alles wat speelt in de wereld van internet, technologie en gadgets.In het dagelijks leven is Roeland werkzaam als Product Manager. Naast zijn baan houdt hij zich ook bezig met DJ-en en sporten. Op Google+
  • Sara Raap

    Bedankt voor de beide VPN instructies, met de eerste (1 gebruiker) werkt het perfect. Maar extra gebruikers wil nog niet echt lukken. Ik heb de config van de 1 gebruiker gepakt en het gedeelte tussen de {} gekopieerd/geplakt. Ik heb het IP, username en wachtwoord vervangen (groepsnaam en key hetzelfde). Bestand geupload naar de Fritz!Boxs in het juiste subscherm. Ik zie daar nu ook 5 VPN listings (ik heb inderdaad 5 accounts gemaakt in mijn config). Maar als ik nu wil inloggen met een account die niet de eerste in de file is, krijg ik “Identiteit gebruiker niet geaccepteerd” (iOS VPN login). Moet ik meer veranderen?

    • Hi, graag gedaan :)

      Heb je de oude config eerst verwijderd? Dat leidde in het verleden bij mij tot problemen namelijk.

      Desnoods om het niet heel ingewikkeld te maken, een typo kan al snel de boosdoener zijn, kun je mij je txt file sturen, maar wijzig dan wel even je key en vul wat flut-data in als gebruikersgegevens. Dan kan ik kijken of de opbouw correct is.

      • Yilmaz

        Dag Roeland,

        Dank voor je uitleg. Ik heb eigenlijk hetzelfde probleem als bij Sara. Enige verschil is dat ik te maken heb met 2 accounts. Als ik het eerste account op de telefoon gebruik gaat het goed en ook op de laptop. Tweede account geeft op dezelfde laptop de melding “Identiteit gebruiker niet geaccepteerd”. Voor de zekerheid heb ik alle instellingen en wachtwoorden gebruikt zoals hierboven, maar dat was hetzelfde probleem.

        Heb jij wellicht nog een advies? Ik ben benieuwd. Dank voor je moeite.

        • Hoi Yilmaz,

          OK. Vreemd dat het bij 2 mensen nu optreedt. Ik zal eens met AVM overleggen of zij nog een tip hebben!

          Zal er zsm op terug komen!

          • Yilmaz

            Dag Roeland,

            Dank voor je antwoord. Had je al iets kunnen ontdekken?

            Groet,
            Hasan

  • Remco

    hee Roeland, ik zie in je uitleg: “De VPN-server laat alleen hardware toe binnen de reeks 192.168.178.201 t/m 192.168.178.300”.

    Maar ipv4 ranges lopen maar tot .255 natuurlijk :)

    • Ha! Nadeel van tot laat typen… Thanks Remco! Aangepast. Ik zie dat de vakantie je al scherp maakt ;)

      • Remco

        ik heb nu tijd voor aanmaken van VPN’s en iOS 7 installeren :)

  • Ebonitte

    Beste Roeland, al wat teruggehoord van avm? Heb nog een aanvullende vraag. Jouw artikel gaat over het toevoegen van meerdere accounts in 1 script. Maar ik zit met het volgende; De aangeboden installatie werkt voor mij als een zonnetje op mijn Macbook Pro, iPhone en iPad. Maar, nu heb ik ook een Windows-laptop en hiermee krijg ik met de bovenstaande settings (en de settings in je voorgaande artikel) geen toegang tot de FB vpn server. Ik heb dus met de avm tool een pc-georienteerd server script gemaakt, en deze geupload naar de box. Met dat script kan ik de box perfect benaderen in Windows via de avm vpn client, (je raad het al) masr nu niet meer via de apple devices. Heb dit een paar keer gewisseld, en het gedrag blijft hetzelfde. Beide scripts zijn ook op belangrijke punten wezenlijk verschillend van elkaar… Dus mijn vraag is; is het mogelijk om deze twee scripts te combineren tot 1 script waardoor beide platformen de vpn server kunnen gebruiken, of is het mogelijk om 2 scripts naast elkaar in de box te laden. Dit laatste is voor zover ik heb kunnen terugvinden niet mogelijk, maar wellicht heb ik iets gemist ;-). Mocht een combinatie script mogelijk zijn dan ben ik heel benieuwd of/hoe je dit kunt opbouwen. Alvast bedankt, Ebonitte

    • Hoi Ebonitte,

      ik weet niet wat die tool precies doet in de scripts en/of protocollen. In ieder geval kan je maar 1 server-script laden in de box. De laatst geuploade is ook de enige die werkt. Maar ik verwijderde altijd eerst alles voor ik een nieuwe uploadde.

      Voor wat betreft je vraag of beide OS-en zouden moeten samen kunnen werken. Het antwoord hierop zou ja moeten zijn, maar ik weet niet wat die tool van jou precies doet.

  • Jeroen K.

    Hallo, bij mij lukte het eerst ook niet met meerdere accounts. Ik heb toen voor elk account een aparte groepsnaam gebruikt (bijv. gadgetgoeroes1, gadgetgoeroes2, etc.), toen werkte het wel. Ik krijg het alleen nog niet aan de praat op een iPad 1 (“Negotiation with the VPN server failed”), dus als iemand daar nog een tip voor heeft hoor ik het graag.
    Jeroen K.

    • Jeroen K.

      Even een update; de iPad 1 werkt inmiddels ook. Ik had een fout in de config gemaakt. Ik had een derde account toegevoegd maar ik was vergeten om alle IP adressen daarop aan te passen. Bedankt voor deze mooie handleiding!
      Jeroen K.