Artikel-Feed 📰
Galerie-Feed 🖼
@blackseals
BlackSeals.net

Anmelden
Nov 042011
 
  • Betrifft: Site-2-Site VPN Verbindung mittels IPSec
  • System: AVM FRITZ!Box Fon WLAN 7390 und Netgear FVS124G

Mittlerweile habe ich nach vielen Stunden Kleinarbeit eine stabile VPN Verbindung zwischen zwei Gegenstellen geschafft. Einmal mit der AVM FRITZ!Box Fon WLAN 7390 und einem Netgear ProSafe Dual WAN VPN Gigabit Firewall FVS124G.

Hier die Einstellung f√ľr die FRITZ!Box (die ich komplett ohne der Software "FRITZ!Box Fernzugang einrichten" erstellt habe):

/*
* C:\fritzbox.cfg
* Datum
*/
 
vpncfg {
    connections {
        enabled = yes;
        conn_type = conntype_lan;
        name = "Netgear FVS124G";
        always_renew = yes;
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = 0.0.0.0;
        local_virtualip = 0.0.0.0;
        remoteip = ;
        remote_virtualip = 0.0.0.0;
        remotehostname = "";
        localid {
            fqdn = "";
        }
        remoteid {
            fgdn = "";
        }
        mode = phase1_mode_idp;
        phase1ss = "alt/all-no-aes/all";
        keytype = connkeytype_pre_shared;
        key = "";
        cert_do_server_auth = no;
        use_nat_t = no;
        use_xauth = no;
        use_cfgmode = no;
        phase2localid {
            ipnet {
                ipaddr = ;
                mask = ;
            }
        }
        phase2remoteid {
            ipnet {
                ipaddr = ;
                mask = ;
            }
        }       
        phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
        accesslist = "permit ip any 255.255.255.0";
    }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                        "udp 0.0.0.0:4500 0.0.0.0:4500";

}
       
// EOF

Nachfolgend die Einstellungen vom FVS124G. Zu finden sind beide notwendigen Punkte unter VPN

netgear_fvs124g_vpn_menu

Zuerst muss IKE Policies angelegt werden. Danach VPN Policies:

netgear_fvs124g_vpn_ike_policynetgear_fvs124g_vpn_vpn_policy

 

Erklärungen:

Parameter Erklärung Beispiel
öffentliche IP-Adresse vom Netgear FVS124G 92.130.320.1
öffentliche IP-Adresse von der FRITZ!Box 213.169.265.23
"" ein Domänname, der auf die richtige öffentliche IP-Adresse der FRITZ!Box zeigt. "fritz.box.lan"
mit diesem Kennwort wird die Verbindung verschl√ľsselt. @ufb@red84/dEg34X
Das Netzwerk, dass hinter der FRITZ!Box verwendet wird. 172.20.168.0
Die zugehörige Subnetzmaske bei der FRITZ!Box. 255.255.255.0
Das Netzwerk, dass hinter dem FVS124G verwendet wird. 192.168.1.0
Die zugehörige Subnetzmaske bei dem FVS124G. 255.255.255.0

 

Update 06.11.2011:

Es hat sich nach l√§ngeren Test herausgestellt, dass die Zeitangabe f√ľr die IPSec Phase II falsch war. Statt 3.600 Sekunden wird von der FRITZ!Box n√§mlich ein anderer Wert verlangt. Die Bilder wurden entsprechend aktualisiert. Damit l√§uft die Verbindung bei weiten stabiler als vorher.

 

Update 27.11.2011:

Ich hatte eine Nachfrage warum ich nun den Wert Null bei der IPSec Phase II verwende. Nun in diesem Fall fragt definitiv zuerst die FRITZ!Box nach einem neuem Schl√ľssel. An sich fragt das Ger√§t mit den niedrigeren Einstellungen zuerst nach und beide Zeitmesser gehen wieder auf Null zur√ľck. Bei dem Netgear FVS124G ist selbst 28.800 Sekunden ein Problem und die Verbindung wird st√§ndig getrennt. Das die FRITZ!Box nach einem neuem Schl√ľssel anfragt kann man sehr sch√∂n in den Logdateien sehen.

Hinweis: beim Kennwort kann die FRITZ!Box zeitweise ein Problem mit Sonderzeichen haben. Den genauen Grund weiß ich nicht, aber scheinbar gehen nicht alle Zeichen. Hier muss man etwas probieren.

  4 Antworten zu “VPN zwischen FRITZ!Box Fon WLAN 7390 und Netgear FVS124G”

Kommentare (4)
  1. Super, hat mir sehr geholfen, weil ich aus unerfindlichen Gr√ľnden keine Verbindung mit dem Fritzfernzugang zwischen einer 7390 und einem SRX5308 hinbekommen habe. Jetzt funktioniert es. Werde aber noch aus Sicherheitsgr√ľnden die 3DES durch AES-256 austauschen

    Zwei Fragen zu deiner Konfiguration:
    always_renew = yes; its das die Einstellung f√ľr die Dauerverbindung?
    Und wieso ist use_nat_t = no gesetzt?

    Vielen Dank f√ľr Dein Script, Lambda

    • Bitte gerne.

      Zu AES-256: w√ľrde mich interessieren ob das klappt. Habe kurz probiert aber keine stabile Leitung erhalten. Bitte um dein Feedback.

      Zu den zwei Fragen:
      always_renew = Bewirkt mehrere Funktionen: unter anderem, dass die Verbindung auch aufgebaut wird, wenn noch keine Daten an dieses Ziel gesendet wird. Ebenso wird die Verbindung aufgebaut, wenn die Leitung getrennt wurde. Im Grunde ist dies NUR f√ľr Gateway-to-Gateway Verbindungen zu verwenden.
      use_nat_t = Bei Point-to-Point VPN sind beide kompletten IP-Bereiche von jeder Seite zur anderen Seite erreichbar. Damit wird kein NAT-T ben√∂tigt. Die Verbindung erfolgt von einer internen Adresse √ľber die VPN-Verbindung zur anderen internen Adresse. NAT-T ist f√ľr Verbindungen notwendig wo z.B. ein weiterer Router dazwischen h√§ngt und dieser nicht sauber ein Passthrough oder je nach Konfiguration ein sauberes Routing durchf√ľhrt. Bei letzterem muss die Adressbereich plus Gateway allen weiteren Routern bekannt sein. Einfacher erkl√§rt wird NAT ben√∂tigt wo eine einzige IP-Adresse f√ľr viele andere genutzt werden soll. Beispiel: Internetverbindung f√ľr die eigenen internen Ger√§te. Das ist bei Point-to-Point VPN wie erw√§hnt anders.

    • Kurze R√ľckmeldung:
      Nach einigen ern√ľchternen Experimenten mit der 4er Firmware, musste ich nach heftigen Problemen wieder zur√ľck auf die 3er. Zur Zeit l√§uft wieder 3.0.7-29, alles andere erwies sich nicht stabil, bzw gingen grundlegende Funktionen wie anst√§ndiges Routing, automatisches Neuverbinden oder Load Balancing nicht mehr.
      Haben die bei Netgear die Beta-Tests abgeschafft? Die Foren sind voll mit unzufriedenen Kunden. Netgear ist gerade dabei sich vollends um ihren guten Namen zu bringen.
      Und nein, ich habe auch keine stabile AES-Verbindung hinbekommen. Mal ging sie, mal kurz, dann länger, dann wieder gar nicht, ohne dass etwas an der Konfiguration geändert worden wäre. Jedenfalls nicht nachvollziehbar.

    • Danke f√ľr die R√ľckmeldung. Tja, mit instabiler Firmware hatte ich auch immer wieder mit Netgear zu k√§mpfen. Eigenartiger weise waren Business-Produkte empfindlicher und obwohl man es gerade dort anders erwarten k√∂nnte…

      Ich hatte jedenfalls immer Kontakt mit Netgear Support aufgesucht. Hat einmal besser und dann wieder schlechter funktioniert.

 Antworten

(erforderlich)

(erforderlich)