Problem mit der VPN-Verbindung mit zwei 6360 Fritzboxen

[MagicMight]

Hi,

das "always_renew = yes" bewirkt nur dass die VPN Verbindung immer aufgebaut wird, auch wenn kein Traffic in die Richtung des Zielnetzes stattfindet. Wie soll Ihm das helfen?

Zu den Fehlermeldung noch kurz:
IKE-Error 0x2027 = "timeout"
IKE-Error 0x203d = "phase 1 sa removed during negotiation"

Jetzt kannst Du natürlich noch versuchen mit den phase1 Parametern zu experimentieren, wobei er die gültigen Werte sind:

Code: Alles auswählen

IKE Strategies for phase1ss:
"def/3des/sha";
  "Access to the WatchGuard Firebox";

"alt/aes/sha";
  "Optimized for access to the AVM Access Server";

"def/all/all";
  "All algorithms, DH group default";

"alt/all/all";
  "All algorithms, DH group alternate";

"def/all-no-aes/all";
  "All algorithms, DH group default";

"alt/all-no-aes/all";
  "All algorithms without AES, DH group alternate";

"alt/aes-3des/sha";
  "AES 256 Bit or 3DES, DH group alternate";

"all/all/all";
  "All algorithms, DH group alternate (outgoing)";

Du kannst auch noch versuchen den Modus umzustellen, so dass nicht phase1 und 2 in einem Schritt stattfinden, indem Du
mode = phase1_mode_idp;
setzt.
Damit wird das Ganze zwar kompatibel zu einem Windows IPSEC VPN, allerdings hatte ich da mit meiner Fritzbox alle paar Tage mal Reboots.
Bei mir ging das übrigens auch immer mit "use_nat_t = no;" solange man eine Verbindung zwischen 2 Fritzboxen macht und sich nicht als User einwählt.

Schönes WE,
MagicMight

[amax]

1.Weil dies eine Einstellung für zwei Fritzen ist , die bei net to net ( dauerhaft) benutzt werden sollte. War ein Tip.

Zur Wan IP: Meine Box bekommt immer eine neue Wan IP sobald ich VPN aktiviere. Ob der Endpunkt nun aktiv ist oder nicht.....


2. Die Phasen1 habe ich auch so gesetzt.
"mode = phase1_mode_idp;
phase1ss = "alt/aes-3des/sha";

Die Phase2 sieht dann bei mir so aus.
phase2ss = "esp-des|3des-all/ah-all/comp-no/pfs";

3. nat_t ist deaktiviert bei net to net.

[frgum]

Danke an alle für die Info's.

Leider hat keine der Lösungsvorschläge funkioniert.

Werde daher auf die neue Firmware (85.07.20) warten müssen und
hoffe, daß diese bald ausgeliefert wird.


Gruß

frgum

[Abraxxas]

Du bist nicht allein. Ich habe zwar keine FB aber den Gockel bemüht, da mich das Thema interessiert. (Gesucht nach "3 IKE server") Schau mal hier: http://www.ip-phone-forum.de/showthread.php?t=218674
Besonders auch den letzten Post auf Seite 2

[petertxt]

Kann es ein Problem sein, daß sich beide Fritzboxen im gleichen Ort (IP-Adresse identisch bis auf die letzte Stelle) befinden und es daher zu Problemen bei Kabel Deutschland kommt?

Sind wirklich alle 4 Stellen der öffentlichen IPs der beiden Fritzboxen gleich? Das wäre u.U. bei DS-Lite so und würde vermutlich VPN verhindern. Sieht man vielleicht im Web Interface, dass die Fritzbox eine IPV6 Adresse bekommen hat?

Sollten die beiden Fritzboxen eine IPV6 haben, versuche doch VPN über IPV6 aufzubauen.

[Kunterbunter]

IP-Adresse identisch bis auf die letzte Stelle

Sind die IP-Adressen nun identisch bis auf die letzte Stelle, oder sind sie identisch, bis auf die letzte Stelle?

[frgum]

frgum hat geschrieben:IP-Adresse identisch bis auf die letzte Stelle

Sind die IP-Adressen nun identisch bis auf die letzte Stelle, oder sind sie identisch, bis auf die letzte Stelle?

Die ersten 3 Stellen der IP-Adresse sind identisch. Unterschiedlich ist nur die 4. Stelle der IP.

[Siegel]

schlechte Firmware ... warte ein paar Monate bis eventuell ein FW Update kommt *bricht in schallendes Gelächter aus*

Eine funktionierende Config die mit FritzBox 7930 (FW x.20) absolut sauber funktioniert:


/*
* /MacBook/vpnbox6.cfg
* Mo Mar 19 17:00:00 2012
*/

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "vpnremote.domain.tld";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "vpnremote.domain.tld";
localid {
fqdn = "vpnlocal.domain.tld";
}
remoteid {
fqdn = "vpnremote.domain.tld";
}
mode = phase1_mode_idp;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "geheim";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.xxx.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 10.0.0.xxx;
mask = 255.0.0.0;
}
}
phase2ss = "esp-all-all/ah-all/comp-all/pfs";
accesslist = "permit ip any 10.0.0.xxx 255.0.0.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Was use_nat_t = yes; angeht:

Wenn NAT aktiviert ist: werden alle IPSec Pakete in UDP 4500 eingewickelt und versendet.
Somit kann z.b auch die FritzBox hinter einem Router IPSec Verbindungen aufbauen/zur Verfügung stellen.

Wenn NAT Support deaktiviert ist, werden alle Pakete per UDP 500 und ESP Prokoll ausgetauscht.

Mein Zentraler IPSec Knoten ist eine Linux Firewall mit IPSec VPN (IPCop). Exposed Host hinter FritzBox 6360.

Bis vor paar Tagen lief auch die VPN Verbindung direkt von einem FritzBox 6360 (FW 85.05.07) Anschluss zum IPSec Knoten durch.

Fazit:
Jetzt spackt die ganze Scheiße wieder herum und ich habe wirklich keine Lust mehr, mich weiter mit dieser mangelhaften Firmware auseinander zu setzen, wenn gleich der ganze Käse von den 7 anderen FritzBox 7930 Anschlüssen stabil über Monate hinweg läuft (5x KD/3x Telekom Business).

Mischform von: mit use_nat_t und ohne ist problemlos möglich

Wer von der 6360 FritzBox zu einer Fritte mit dynamischer IP verbinden sollte:

statt:

Code: Alles auswählen

mode = phase1_mode_idp;

dann:

Code: Alles auswählen

mode = phase1_mode_aggressive;

verwenden.

Entsprechend sollte ein "langes" Passwort verwendet werden, da die HASH-Werte im Klartext übertragen werden.

Etliche IPSec Implementierungen weisen auch direkt darauf hin (IPCop & Co)

Und nicht vergessen ... sucht ein DynDNS Provider mit kurzer / bzw. einstellbarer DNS Time to Live/Expire Zeit!

[Thyrael]

Leute benutzt bitte den "Ändern" Button wenn ihr euren Posts noch etwas hinzufügen wollt.

[Siegel]

Eh ... Thyrael schnippelst du an meinen Postings/Ausagen herum???

... Gehts noch???

Das erstellen eines Eintrages beinhaltet ein abgeschlossenen Gedankengang. Wenn ich also etwas erneut Anhänge, ist dies auch eine neue Formulierung.

Forenmoderation bedeutet NICHT nach willkühr und belieben Einträge von anderen Leuten zu ändern.
Schließlich kannst du auch nicht im Gespräch mit einer anderen Person, "Stop" schreien und vorschreiben ... "deine Pause in zweit Aussagen war überflüssig, wiederhole es in einem Satz" soufflieren.

Was soll das ?