Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 6436 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-Site VPN mit Fritz.Box 7170 & "Labor"-Firmware

MarcS
Hallo,

da die AVM Fritz Box in Deutschland sehr stark verbreitet ist stelle ich mal eine Frage an dieses Forum:

Hat schon mal jemand ein Site-to-Site VPN zwischen einer ASG220 (V6.311) und einer Fritz Box 7170 mit der Firmware "Labor-Version 29.04.34-7728" realisiert ???
(für Home-Office ect.)

Wenn ja, welche Settings wurden auf beiden Seiten verwendet ?

Leider habe ich zu wenig Ahnung um die Logfiles zu analysieren wo genau das VPN "hängt"...

Folgende Konfig wurde auf der Fritz eingespielt:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Astaro V6";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = IP der Astaro;
                remote_virtualip = 0.0.0.0;
                localid {
                        fqdn = "fritzbox.dyndns.eu";
                }
                remoteid {
                        ipaddr = IP der Astaro;
                }
                mode = phase1_mode_idp;                     
                phase1ss = "all/all/all";                             
                keytype = connkeytype_pre_shared;
                key = "shared_key-geheim";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-all/comp-all/pfs";                   
                accesslist = "permit ip any 192.168.10.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF 

Entscheidend sind wohl die Settings bei Mode + phase1ss + phase2ss. In den (dürftigen) Anleitungen von AVM gibt es die Settings für Watchguard, Cisco, Netgear+ Lancom, aber leider kein ASTARO...

Auf Seite Astaro habe ich div. "IPSec Policies" geteste, aber alles ohne Erfolg...  [:(] 

Im Menü der Astaro sehe ich beim IPSec Connection Status nur "IPSec SA" auf ROT mit der Meldung ( :: no IPSec SA information available :: ) und bei "ISAKMP SA" GELB mit der Meldung (STATE_MAIN_I1 (sent MI1, expecting MR1); EVENT_RETRANSMIT in 33s; nodpd)

Kann mir da jemand helfen ?
... wäre super!

Danke!
Marc


This thread was automatically locked due to age.
Parents
  • 0
    VPN Verbindungen zwischen Astaro V8 und AVM 7240 (sowie allen anderen VPN-fähigen AVM-Geräten) funktionieren. [:)] Auch mit dynamischen IP-Adressen.
    µWallet » [how2] site2site vpn between Astaro v8 and AVM fritz.box 7240

    µatthias
  • 0 in reply to counterroot
    Hallo Matthias,

    Danke für die ausführliche Anleitung!
    Hab's genau nach deinem Howto probiert.. klappt aber nich [:(]
    Hab ne ASG 320 mit fester IP und ne FritzBox 7170 mit dynamischer IP.
    ASG-Einstellungen dementsprechend angepasst. 


    vpncfg {

            connections {

                    enabled = yes;

                    conn_type = conntype_lan;

                    name = "ASG 320";

                    always_renew = no;

                    reject_not_encrypted = no;

                    dont_filter_netbios = yes;

                    localip = 0.0.0.0;

                    local_virtualip = 0.0.0.0;

                    remoteip = xx.***.***.xx;

                    remote_virtualip = 0.0.0.0;

                    localid {

                            ipaddr = 169.254.1.100;

                    }

                    remoteid {

    			ipaddr = xx.***.***.xx;

                    }

                    mode = phase1_mode_idp;

                    phase1ss = "alt/all/all";

                    keytype = connkeytype_pre_shared;

                    key = "Geheimer Key mit 50 Zeichen";

                    cert_do_server_auth = no;

                    use_nat_t = no;

                    use_xauth = no;

                    use_cfgmode = no;

                    phase2localid {

                            ipnet {

                                    ipaddr = 192.168.85.0;

                                    mask = 255.255.255.0;

                            }

                    }

                    phase2remoteid {

                            ipnet {

                                    ipaddr = 172.20.0.0;

                                    mask = 255.255.0.0;

                            }

                    }				

                    phase2ss = "esp-all-all/ah-all/comp-all/pfs";

                    accesslist = "permit ip any 172.20.0.0 255.255.0.0";

            }

            ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 

                                "udp 0.0.0.0:4500 0.0.0.0:4500";

    }


    Die FritzBox meldet mir ständig "IKE-Error 0x2027" -> time out.
    Hat jemand ne Idee, woran's liegen könnte?

    Grüße,
    Stefan
Reply
  • 0 in reply to counterroot
    Hallo Matthias,

    Danke für die ausführliche Anleitung!
    Hab's genau nach deinem Howto probiert.. klappt aber nich [:(]
    Hab ne ASG 320 mit fester IP und ne FritzBox 7170 mit dynamischer IP.
    ASG-Einstellungen dementsprechend angepasst. 


    vpncfg {

            connections {

                    enabled = yes;

                    conn_type = conntype_lan;

                    name = "ASG 320";

                    always_renew = no;

                    reject_not_encrypted = no;

                    dont_filter_netbios = yes;

                    localip = 0.0.0.0;

                    local_virtualip = 0.0.0.0;

                    remoteip = xx.***.***.xx;

                    remote_virtualip = 0.0.0.0;

                    localid {

                            ipaddr = 169.254.1.100;

                    }

                    remoteid {

    			ipaddr = xx.***.***.xx;

                    }

                    mode = phase1_mode_idp;

                    phase1ss = "alt/all/all";

                    keytype = connkeytype_pre_shared;

                    key = "Geheimer Key mit 50 Zeichen";

                    cert_do_server_auth = no;

                    use_nat_t = no;

                    use_xauth = no;

                    use_cfgmode = no;

                    phase2localid {

                            ipnet {

                                    ipaddr = 192.168.85.0;

                                    mask = 255.255.255.0;

                            }

                    }

                    phase2remoteid {

                            ipnet {

                                    ipaddr = 172.20.0.0;

                                    mask = 255.255.0.0;

                            }

                    }				

                    phase2ss = "esp-all-all/ah-all/comp-all/pfs";

                    accesslist = "permit ip any 172.20.0.0 255.255.0.0";

            }

            ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 

                                "udp 0.0.0.0:4500 0.0.0.0:4500";

    }


    Die FritzBox meldet mir ständig "IKE-Error 0x2027" -> time out.
    Hat jemand ne Idee, woran's liegen könnte?

    Grüße,
    Stefan
Children
No Data