IPSEC und Fritzbox Timeouts

(Sorry, my German-speaking brain isn't working at the moment.[:(])

First, check the Intrusion Prevention log to see if the higher throughput isn't causing some Anti-DoS activity for which you can create an Exception.  Anything?  If not, is DPD selected in the Fritzbox and the UTM?

Mf - Bob (Bitte, auf Deutsch weiterhin.)

Hallo dahardy,

ich habe gesehen das du geschrieben hast, dass du einen dauerhaften Tunneln zwischen deiner Fritzbox und der UTM aufbauen konntest.

Bei mir wird der Tunnel immer nach ca 2,30 min abgebaut mit der Fehlermeldung 

IKE-Error 0x203D  "phase 1 sa removed during negotiation"

Ich habe hier alle Möglichkeiten durchprobiert für die phase 1 die hier hinterlegt sind 
http://avm.de/fileadmin/user_upload/DE/Service/VPN/ike_1.pdf

Ansonsten habe ich die Einstellungen von dieser Seite genommen 
VPN-Verbindung von FRITZ!Box zu Astaro Security Gateway Version 7.0 (LAN-LAN) | AVM Deutschland
Da sie auch auf allen anderen Fundstellen im Internet gleich waren.

Könntest du mir da vielleicht Tips geben wo mein Gedanken fehler ist?

Gruß

is.Mars

Hi,
Nur ne kurze Antwort, weil ich unterwegs bin ;-)

Schau, dass deine Laufzeiten gleich sind (rekeying).
Schick interesting Traffic durch den Tunnel - Mach nen Dauerping, sonst wird der Tunnel von der Fritzbox abgebaut.

Nixe greetings

Hallo zusammen.

Ich betreibe seit längerem ein site-to-site VPN zwischen einer UTM und einer Fritzbox. 3DES ist für die Fritzbox relativ rechenintensiv, daher habe ich auf AES umgestellt. Anbei findet ihr eine Beispielkonfiguration der UTM und der Fritzbox.

Hallo,

ich komme mit dem selben Problem nicht weiter. Laut AVM wurde bei den 06.20er FW der Fritzboxen mal was an den Poposal verändert, ggf. leigt es daran. Auf jeden Fall geht bei meinem VPN nix.

Nach der AVM Anleitung gearbeitet:
VPN-Verbindung von FRITZ!Box zu Astaro Security Gateway Version 7.0 (LAN-LAN) | AVM Deutschland

Auch das hier mal versucht mit oben stehenden Änderungen mit AES und mit 3DES ...leider alles ohne Erfolg.

Hat jemand Tipps zu den aktuellen FW von Sohpos und AVM?

Danke
Sascha

Hallo,

ich komme mit dem selben Problem nicht weiter. Laut AVM wurde bei den 06.20er FW der Fritzboxen mal was an den Poposal verändert, ggf. leigt es daran. Auf jeden Fall geht bei meinem VPN nix.

Nach der AVM Anleitung gearbeitet:
VPN-Verbindung von FRITZ!Box zu Astaro Security Gateway Version 7.0 (LAN-LAN) | AVM Deutschland

Auch das hier mal versucht mit oben stehenden Änderungen mit AES und mit 3DES ...leider alles ohne Erfolg.

Hat jemand Tipps zu den aktuellen FW von Sohpos und AVM?

Danke
Sascha

Hallo,

Das gleiche - oder zumindest ein sehr eng verwandtes - Problem macht mir auch gerade zu schaffen. In einem unserer Außenbüros hat vor ein paar Monaten der alt gediente Draytek Router den Geist aufgegeben und ist durch eine Fritz!Box 7272 ersetzt worden. Seitdem tritt ab und an - aber ohne erkennbares Muster - das Problem auf, dass zwar aus Sicht der Astaro der VPN-Tunnel weiterhin funktioniert, aber es gehen keine Daten mehr durch. Den Tunnel auf der Astaro kurz zu deaktivieren und wieder zu aktivieren oder aber alternativ Strict Routing ein- bzw. aus zu schalten schafft kurzfristig Abhilfe (wobei ich dem Protokoll entnehme, dass Ein-/Ausschalten des Strict Routing ebenfalls den Tunnel neu aufbaut, es kann also sein, dass es mit Strict Routing an sich nichts zu tun hat), ist aber auf Dauer keine Lösung.
Die Konfiguration für den VPN-Tunnel habe ich nach der gleichen Anleitung erstellt, auf der Fritz!Box läuft ebenfalls die 06.20 Firmware. Auf der Astaro in der Firmenzentrale läuft die Firmware 9.310-11, was laut Up2Date die aktuelle Version ist.

Wir haben derzeit noch zwei andere Büros, die über Fritz!Boxen ihre VPN-Verbindungen aufbauen, die keine Probleme machen, allerdings sind die Firmware-Revisionen andere, zum einen sind das eine 7390 mit 06.21-29575 BETA und eine 7390, bei der ich allerdings kurzfristig die Zugangsdaten nicht zur Hand habe, aber ich nehme an, dass es sich um eine ältere Firmware-Revision handelt.

Vielen Dank für alle Vorschläge und Hinweise,
Benjamin

vpncfg { connections { enabled = yes; conn_type = conntype_lan; name = "Sophos UTM"; always_renew = yes; keepalive_ip = ; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remoteip = 0.0.0.0; remote_virtualip = 0.0.0.0; remotehostname = ""; localid { fqdn = ""; } remoteid { fqdn = ""; } mode = phase1_mode_idp; phase1ss = "all/all/all"; keytype = connkeytype_pre_shared; key = ""; cert_do_server_auth = no; use_nat_t = no; use_xauth = no; use_cfgmode = no; phase2localid { ipnet { ipaddr = 192.168.28.0; mask = 255.255.255.0; } } phase2remoteid { ipnet { ipaddr = 192.168.30.0; mask = 255.255.255.0; } } phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs"; accesslist = "permit ip any 192.168.30.0 255.255.255.0"; } ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500"; } // EOF

 

Die Verbindung funktioniert gut, aber ich erhalte ständig IKE-Error 0x203d auf der Fritz!Box-Ereignisanzeige.

Auf der Sophos erkenne ich folgenden Fehler

Hallo Luca,

Erstmal herzlich willkommen hier in der Community !

(Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

Normally, in the UTM, that's not an error, just IPsec being "chatty" about what it's doing.My first guess is that one of the two VPN endpoints is behind a NAT.  If that wasn't it, please show pictures of the Edits of the IPsec Connection and Remote Gateway. Also,

1. Confirm that Debug is not enabled.
2. Disable the IPsec Connection.
3. Start the IPsec Live Log and wait for it to begin to populate.
4. Enable the IPsec Connection.
5. Copy here about 60 lines after you enabled.

MfG - Bob (Bitte auf Deutsch weiterhin.)