This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Astaro-Fritzbox

Hi,
ich habe nach dieser Anleitung eine CFG für die Fritzbox erstellt, die Einstellungen auf der ASG vorgenommen und diese dann so wie hier verändert.

Also ist meine CFG jetzt so:

{

                enabled = yes;

                conn_type = conntype_lan;

                name = "SZ1ASG01";

                always_renew = yes;

                reject_not_encrypted = no;

                dont_filter_netbios = yes;

                localip = 0.0.0.0;

                local_virtualip = 0.0.0.0;

                remoteip = 0.0.0.0;

                remote_virtualip = 0.0.0.0;

                remotehostname = "standort1-dyndns";

                localid {

                        fqdn = "standort2-dyndns";

                }

                remoteid {

                        fqdn = "standort1-dyndns";

                }

                mode = phase1_mode_idp;

                phase1ss = "alt/all-no-aes/all";

                keytype = connkeytype_pre_shared;

                key = "1234567";

                cert_do_server_auth = no;

                use_nat_t = no;

                use_xauth = no;

                use_cfgmode = no;

                phase2localid {

                        ipnet {

                                ipaddr = 192.168.157.0;

                                mask = 255.255.255.0;

                        }

                }

                phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";

                accesslist = "permit ip any 192.168.177.0 255.255.255.0";

        }

In der Astaro sieht es so aus:

Allerdings kommt der Tunnel nicht hoch.

Das Log sagt:


2010:03:31-14:53:24 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: received Vendor ID payload [XAUTH]

2010:03:31-14:53:24 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: received Vendor ID payload [Dead Peer Detection]

2010:03:31-14:53:24 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: Can't authenticate: no preshared key found for `ip-standort1' and `@dyndns-standort2'.  Attribute OAKLEY_AUTHENTICATION_METHOD

2010:03:31-14:53:24 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: no acceptable Oakley Transform

2010:03:31-14:53:24 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: sending notification NO_PROPOSAL_CHOSEN to ip-standort2:500

2010:03:31-14:54:04 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: received Vendor ID payload [XAUTH]

2010:03:31-14:54:04 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: received Vendor ID payload [Dead Peer Detection]

2010:03:31-14:54:04 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: Can't authenticate: no preshared key found for `ip-standort1' and `@dyndns-standort2'.  Attribute OAKLEY_AUTHENTICATION_METHOD

2010:03:31-14:54:04 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: no acceptable Oakley Transform

2010:03:31-14:54:04 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: sending notification NO_PROPOSAL_CHOSEN to ip-standort2:500

2010:03:31-14:54:44 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: received Vendor ID payload [XAUTH]

2010:03:31-14:54:44 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: received Vendor ID payload [Dead Peer Detection]

2010:03:31-14:54:44 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: Can't authenticate: no preshared key found for `ip-standort1' and `@dyndns-standort2'.  Attribute OAKLEY_AUTHENTICATION_METHOD

2010:03:31-14:54:44 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: no acceptable Oakley Transform

2010:03:31-14:54:44 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: sending notification NO_PROPOSAL_CHOSEN to ip-standort2:500

2010:03:31-14:55:24 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: received Vendor ID payload [XAUTH]

2010:03:31-14:55:24 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: received Vendor ID payload [Dead Peer Detection]

2010:03:31-14:55:24 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: Can't authenticate: no preshared key found for `ip-standort1' and `@dyndns-standort2'.  Attribute OAKLEY_AUTHENTICATION_METHOD

2010:03:31-14:55:24 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: no acceptable Oakley Transform

2010:03:31-14:55:24 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: sending notification NO_PROPOSAL_CHOSEN to ip-standort2:500

2010:03:31-14:56:04 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: received Vendor ID payload [XAUTH]

2010:03:31-14:56:04 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: received Vendor ID payload [Dead Peer Detection]

2010:03:31-14:56:04 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: Can't authenticate: no preshared key found for `ip-standort1' and `@dyndns-standort2'.  Attribute OAKLEY_AUTHENTICATION_METHOD

2010:03:31-14:56:04 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: no acceptable Oakley Transform

2010:03:31-14:56:04 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: sending notification NO_PROPOSAL_CHOSEN to ip-standort2:500

2010:03:31-14:56:44 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: received Vendor ID payload [XAUTH]

2010:03:31-14:56:44 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: received Vendor ID payload [Dead Peer Detection]

2010:03:31-14:56:44 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: Can't authenticate: no preshared key found for `ip-standort1' and `@dyndns-standort2'.  Attribute OAKLEY_AUTHENTICATION_METHOD

2010:03:31-14:56:44 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: no acceptable Oakley Transform

2010:03:31-14:56:44 sz1asg01 pluto[3436]: "S_REF_OdwEjgnYIq_0" #206: sending notification NO_PROPOSAL_CHOSEN to ip-standort2:500

Weiß von euch jemand woran es liegen könnte? ist bestimmt ein ganz einfacher Fehler [;)]

Danke!

This thread was automatically locked due to age.

Parents

0 unst over 15 years ago

Kann mir jemand zeigen wo man jetzt in 7.505 als vpn-id den hostname angeben kann?
Cancel
Vote Up 0 Vote Down

Cancel

0 unst over 15 years ago in reply to unst

So ich mal wieder. Also die VPNs zwischen Fritzbox mit dyn-ip und Astaro feste IP laufen jetzt fast... die Fritzbox sagt der Tunnel ist da, die Astaro sagt ist nicht da und ping ist nich möglich.
In der Astaro ist die CFG soweit, dass das Remotegateway die dyndns adresse drin hat, und als optioal VPN ID steht die IP drin, die in der CFG unten unter localid ipaddr= steht.

Es werden automatische Packetfilter Rules verwendet. Muss ich sonst noch was beachten? Findet ihr im Code fehler?


{

                enabled = yes;

                conn_type = conntype_lan;

                name = "***";

                always_renew = yes;

                reject_not_encrypted = no;

                dont_filter_netbios = yes;

                localip = 0.0.0.0;

                local_virtualip = 0.0.0.0;

                remoteip = xx.xx.xx.177;

                remote_virtualip = 0.0.0.0;

                localid {

                        ipadr = 192.168.125.1;

                }

                remoteid {

                        ipadr = xx.xx.xx.177;

                }

                mode = phase1_mode_idp;

                phase1ss = "alt/all-no-aes/all";

                keytype = connkeytype_pre_shared;

                key = "******";

                cert_do_server_auth = no;

                use_nat_t = no;

                use_xauth = no;

                use_cfgmode = no;

                phase2localid {

                        ipnet {

                                ipaddr = 192.168.125.0;

                                mask = 255.255.255.0;

                        }

                }

                phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";

                accesslist = "permit ip any 192.168.17.0 255.255.255.0";

        }

Vielen Dank schonmal!

0 BPirro over 15 years ago in reply to unst

ja in der der Version RC1 7.950 geht das schon als responceonly

                enabled = yes;
                conn_type = conntype_lan;
                name = "Astaro 7.950  1";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = ***.***.***.***;
                remote_virtualip = 0.0.0.0;
                remotehostname = "***.***.***.***";
                localid {
                        fqdn  = "***.dyndns.com";
                }
                remoteid {
                        ipaddr  = "***.***.***.***";
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "1234567890";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.1xx.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.1yy.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.1yy.0 255.255.255.0";
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 BPirro over 15 years ago in reply to unst

ja in der der Version RC1 7.950 geht das schon als responceonly

                enabled = yes;
                conn_type = conntype_lan;
                name = "Astaro 7.950  1";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = ***.***.***.***;
                remote_virtualip = 0.0.0.0;
                remotehostname = "***.***.***.***";
                localid {
                        fqdn  = "***.dyndns.com";
                }
                remoteid {
                        ipaddr  = "***.***.***.***";
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "1234567890";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.1xx.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.1yy.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.1yy.0 255.255.255.0";
Cancel
Vote Up 0 Vote Down

Cancel

Children

0 unst over 15 years ago in reply to BPirro

so nach dem upgrade auf V8 und dem Anpassen der CFG nach deinem bsp läuft alles!
Vielen dank [:)]
Cancel
Vote Up 0 Vote Down

Cancel

0 PCMor over 15 years ago in reply to unst

Hallo Forum,

bin hier im Forum über diesen Thread gestolpert und dachte mir, bevor ich einen neuen aufmache, poste ich einfach hier rein... Vielleicht kann man mir ja helfen.

Zum Problem:
habe meine Fritz!Box7390 via IPSec-Site2Site mit unserer Firmen-Astaro v7.506 erfolgreich gekoppelt (Homeoffice), hier zunächst mal meine (anonymisierte) Fritz-VPN-Config:

vpncfg {

        connections {

                enabled = yes;

                conn_type = conntype_lan;

                name = "s2s ASG";

                always_renew = no;

                reject_not_encrypted = no;

                dont_filter_netbios = yes;

                localip = 0.0.0.0;

                local_virtualip = 0.0.0.0;

                remoteip = feste.ip.asg.firma;

                remote_virtualip = 0.0.0.0;

                localid {

                        ipaddr = 169.254.1.100; 

                        /*locallink-IP als VPN-ID, da 7390 via DynDNS angebunden*/

                }

                remoteid {

		    ipaddr = feste.ip.asg.firma;

                }

                mode = phase1_mode_idp;

                phase1ss = "alt/all/all";

                /*Phase 1 ASG: AES256/SHA1/Lifetime 3600/DH-Group2*/

                keytype = connkeytype_pre_shared;

                key = "50-Zeichen-Kauderwelsch";

                cert_do_server_auth = no;

                use_nat_t = no;

                use_xauth = no;

                use_cfgmode = no;

                phase2localid {

                        ipnet {

                                ipaddr = 192.168.178.0;

                                mask = 255.255.255.0;

                        }

                }

                phase2remoteid {

                        ipnet {

                                ipaddr = 192.168.1.0;

                                mask = 255.255.255.0;

                        }

                }				

                phase2ss = "esp-all-all/ah-all/comp-all/pfs";

                /*Phase 2 ASG: AES256/SHA1/Lifetime 3600/DH-Group2*/

                accesslist = 

		"permit ip any 192.168.1.0 255.255.255.0",

		"permit ip any 10.10.0.0 255.255.0.0",

		"permit ip any 172.16.1.0 255.255.255.0",

		"permit ip any 192.168.11.0 255.255.255.0";

        }

        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 

                            "udp 0.0.0.0:4500 0.0.0.0:4500";

}

Das Problem ist, dass ich durch den Tunnel ausschließlich das Netzwerk erreiche, das als 'phase2remoteid' angegeben ist und/oder in 'accesslist' an erster Stelle steht (der Tunnel wird auch aufgebaut, wenn man den Abschnitt 'phase2remoteid' weg lässt).

Habe bereits alle möglichen Config-Änderungen auf der Fritz-Seite ausprobiert, aber auf der Astaro kommt immer nur eine SA zustande, bei den anderen lokalen, von der Astaro aus erreichbaren Netzen loggt sie

ignoring informational payload, type INVALID_ID_INFORMATION

Hat hier jemand 'ne Idee, was bei Fritz da nicht stimmt?

Sollten Antworten reinschneien: vorab vielen Dank [;)]
--
PCMor