Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 6436 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-Site VPN mit Fritz.Box 7170 & "Labor"-Firmware

MarcS
Hallo,

da die AVM Fritz Box in Deutschland sehr stark verbreitet ist stelle ich mal eine Frage an dieses Forum:

Hat schon mal jemand ein Site-to-Site VPN zwischen einer ASG220 (V6.311) und einer Fritz Box 7170 mit der Firmware "Labor-Version 29.04.34-7728" realisiert ???
(für Home-Office ect.)

Wenn ja, welche Settings wurden auf beiden Seiten verwendet ?

Leider habe ich zu wenig Ahnung um die Logfiles zu analysieren wo genau das VPN "hängt"...

Folgende Konfig wurde auf der Fritz eingespielt:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Astaro V6";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = IP der Astaro;
                remote_virtualip = 0.0.0.0;
                localid {
                        fqdn = "fritzbox.dyndns.eu";
                }
                remoteid {
                        ipaddr = IP der Astaro;
                }
                mode = phase1_mode_idp;                     
                phase1ss = "all/all/all";                             
                keytype = connkeytype_pre_shared;
                key = "shared_key-geheim";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-all/comp-all/pfs";                   
                accesslist = "permit ip any 192.168.10.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF 

Entscheidend sind wohl die Settings bei Mode + phase1ss + phase2ss. In den (dürftigen) Anleitungen von AVM gibt es die Settings für Watchguard, Cisco, Netgear+ Lancom, aber leider kein ASTARO...

Auf Seite Astaro habe ich div. "IPSec Policies" geteste, aber alles ohne Erfolg...  [:(] 

Im Menü der Astaro sehe ich beim IPSec Connection Status nur "IPSec SA" auf ROT mit der Meldung ( :: no IPSec SA information available :: ) und bei "ISAKMP SA" GELB mit der Meldung (STATE_MAIN_I1 (sent MI1, expecting MR1); EVENT_RETRANSMIT in 33s; nodpd)

Kann mir da jemand helfen ?
... wäre super!

Danke!
Marc


This thread was automatically locked due to age.
  • 0
    Hi,

    wie sehen denn Deine IPSec settings auf der FritzBox aus.

    Wichtig sind hier:

    Phase 1: DES, 3DES,AES etc
    Phase 2: MD5,SHA1 etc

    IKE SA lifetime
    IKE DH group

    PFS ja/nein.

    Kannst auch gerne einen Screenshot der entsprechenden Einstellung der Fitzbox machen, dann kann man die Einstellungen auf die ASG "ummünzen".

    Gruß
    Alex
  • 0 in reply to alasc
    Danke für die schnelle Antwort...

    Auf der FritzBox muss ich die genannte Konfig (kursiv) auf die Box "hochladen" und habe keine Möglichkeit dies über die Oberfläche einzustellen.

    Also in einem meiner Tests z.B.:
    mode = phase1_mode_idp;      IKE-Strategien für die phase1ss
    "def/3des/sha";
    "Zugriff auf die WatchGuard Firebox";
    "alt/aes/sha";
    "Optimiert für den Zugriff auf den AVM Access Server";
    "def/all/all";
    "Alle Algorithmen, DH-Gruppe default";
    ....und
    IPSEC-Strategien für die phase2ss
    .."esp-3des-sha/ah-no/comp-no/no-pfs";
    "Zugriff auf die WatchGuard Firebox";
    "esp-all-all/ah-all/comp-all/pfs";
    "Alle Algorithmen, mit PFS";
    "esp-des|3des-all/ah-all/comp-all/pfs";
    "Alle von Cisco unterstützten Algorithmen, mit PFS";
    ...snip       usw.

    Einige habe ich (auf gut Glück) getestet, ohne Erfolg.
    Leider sind die AVM-PDFs für mich nicht ganz eindeutig..

    Marc

    PS: Alle AVM-PDFs auch einzeln hier (leider mit ein paar Werbe-Pop-Up's)
    http://www.upload-center.eu/index.php?PHPSESSID=lua6j4alm9hbqiajthr7&direction=0&order=&directory=AVM%20FritzBox/Anleitungen
    Mögliche Sicherheitsstrategien für FRITZ!Box.pdf
  • 0 in reply to MarcS
    Hallo,

    probier doch bitte einmal folgende Konfiguration aus:

    ASG (ISAKMP Settings)
    IKE Mode: Main Mode
    Encryption Algorithm: 3DES
    Authentication Algorithm: SHA1
    IKE DH Group: DH Group 2 (MODP1024)
    SA Lifetime (sec): 7800

    FritzBox (phase1ss)
    phase1ss = "def/3des/sha"

    ASG (IPSec Settings)
    IPSec Mode: Tunnel
    IPSec Protocol: ESP
    Encryption Algorithm: 3DES-CBC 168bit
    Authentication Algorithm: SHA1
    Enforce Algorithms: Off
    Authentication Algorithm: SHA1
    SA Lifetime (sec): 3600
    PFS: No PFS
    Compression: Off

    FritzBox (phase2ss)
    phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs" 


    

    localip = 0.0.0.0;

    local_virtualip = 0.0.0.0;

    remoteip = 0.0.0.0;

    remote_virtualip = 0.0.0.0;

    remotehostname = "asg220.dyndns.org";

    localid {

    user_fqdn = "fritzbox.dyndns.eu";

    }


    Wobei natürlich dann bei "remotehostname" der richtige DynDNS-Name der Astaro stehen muß. Es macht sich auch recht gut, für die ID immer den FQDN zu nehmen.

    Gruß Holger
  • 0 in reply to Aulendil
    Hallo,

    die Verbindung FB 7170  ASG funktioniert nur mit festen IP-Adressen. Mit DynDNS Accounts funktioniert die Verbindung nicht.
    Siehe auch:
    VPN-Verbindung von FRITZ!Box zu Astaro Security Gateway Version 7.0 (LAN-LAN)

    Gruß,
    Patrick
  • 0 in reply to patrick.schneider
    Ist das noch aktuelle das es nur mit festen IP-Adresse funktioniert oder geht mittlerweile auch DynDNS?
    Für die Astaro habe ich eine feste IP, leider müsste ich jedoch für die Fritzbox ein DynDNS Account verwenden...
  • 0 in reply to M4ddin
    Ist das noch aktuelle das es nur mit festen IP-Adresse funktioniert oder geht mittlerweile auch DynDNS?
    Für die Astaro habe ich eine feste IP, leider müsste ich jedoch für die Fritzbox ein DynDNS Account verwenden...


    Für die Konfiguration eines VPN-Tunnels mittels IPSec ist es bei der ASG egal, ob man eine feste IP-Adresse oder einen DNS-Namen als Tunnelendpunkt verwendet.
    Ob die FritzBox mit einem DNS-Namen zurecht kommt, da bin ich überfragt.
  • 0
    Hallo,

    muss das Thema noch einmal hochholen, der VPN zwischen FritzBox und Astaro funktioniert, es gehen daten durch alles geht, jedoch bricht der Tunnel dann ab mit folgendem Fehler lautr FritzBox:

    27.01.10 09:36:18 VPN-Verbindung zu x.x.x.x wurde getrennt. Ursache: 3 IKE server

    leider kann ich damit gerade nicht viel anfangen..?
  • 0
    VPN Verbindungen zwischen Astaro V8 und AVM 7240 (sowie allen anderen VPN-fähigen AVM-Geräten) funktionieren. [:)] Auch mit dynamischen IP-Adressen.
    µWallet » [how2] site2site vpn between Astaro v8 and AVM fritz.box 7240

    µatthias
  • 0 in reply to counterroot
    Hallo Matthias,

    Danke für die ausführliche Anleitung!
    Hab's genau nach deinem Howto probiert.. klappt aber nich [:(]
    Hab ne ASG 320 mit fester IP und ne FritzBox 7170 mit dynamischer IP.
    ASG-Einstellungen dementsprechend angepasst. 


    vpncfg {

            connections {

                    enabled = yes;

                    conn_type = conntype_lan;

                    name = "ASG 320";

                    always_renew = no;

                    reject_not_encrypted = no;

                    dont_filter_netbios = yes;

                    localip = 0.0.0.0;

                    local_virtualip = 0.0.0.0;

                    remoteip = xx.***.***.xx;

                    remote_virtualip = 0.0.0.0;

                    localid {

                            ipaddr = 169.254.1.100;

                    }

                    remoteid {

    			ipaddr = xx.***.***.xx;

                    }

                    mode = phase1_mode_idp;

                    phase1ss = "alt/all/all";

                    keytype = connkeytype_pre_shared;

                    key = "Geheimer Key mit 50 Zeichen";

                    cert_do_server_auth = no;

                    use_nat_t = no;

                    use_xauth = no;

                    use_cfgmode = no;

                    phase2localid {

                            ipnet {

                                    ipaddr = 192.168.85.0;

                                    mask = 255.255.255.0;

                            }

                    }

                    phase2remoteid {

                            ipnet {

                                    ipaddr = 172.20.0.0;

                                    mask = 255.255.0.0;

                            }

                    }				

                    phase2ss = "esp-all-all/ah-all/comp-all/pfs";

                    accesslist = "permit ip any 172.20.0.0 255.255.0.0";

            }

            ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 

                                "udp 0.0.0.0:4500 0.0.0.0:4500";

    }


    Die FritzBox meldet mir ständig "IKE-Error 0x2027" -> time out.
    Hat jemand ne Idee, woran's liegen könnte?

    Grüße,
    Stefan