VPN zwischen FRITZ!Box Fon WLAN 7390 und Netgear FVS124G

Beitrags-Kategorie:Tutorial
Beitrags-Autor:Andyt
Beitrag veröffentlicht:4. November 2011
Beitrag zuletzt geändert am:15. Juli 2020
Lesedauer:6 min Lesezeit
Beitrags-Kommentare:4 Kommentare

Betrifft: Site-2-Site VPN Verbindung mittels IPSec
System: AVM FRITZ!Box Fon WLAN 7390 und Netgear FVS124G

Mittlerweile habe ich nach vielen Stunden Kleinarbeit eine stabile VPN Verbindung zwischen zwei Gegenstellen geschafft. Einmal mit der AVM FRITZ!Box Fon WLAN 7390 und einem Netgear ProSafe Dual WAN VPN Gigabit Firewall FVS124G.

Hier die Einstellung für die FRITZ!Box (die ich komplett ohne der Software "FRITZ!Box Fernzugang einrichten" erstellt habe):

/*
* C:\fritzbox.cfg
* Datum
*/

vpncfg {
    connections {
        enabled = yes;
        conn_type = conntype_lan;
        name = "Netgear FVS124G";
        always_renew = yes;
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = 0.0.0.0;
        local_virtualip = 0.0.0.0;
        remoteip = <öffentliche IP von Netgear FVS124G>;
        remote_virtualip = 0.0.0.0;
        remotehostname = "<öffentliche IP von Netgear FVS124G>";
        localid {
            fqdn = "<öffentlicher FQDN-Name der FRITZ!Box>";
        }
        remoteid {
            fgdn = "<öffentliche IP von Netgear FVS124G>";
        }
        mode = phase1_mode_idp;
        phase1ss = "alt/all-no-aes/all";
        keytype = connkeytype_pre_shared;
        key = "<Kennwort>";
        cert_do_server_auth = no;
        use_nat_t = no;
        use_xauth = no;
        use_cfgmode = no;
        phase2localid {
            ipnet {
                ipaddr = <internes Netzwerk der FRITZ!Box>;
                mask = <interne Subnetzmakse der FRITZ!Box>;
            }
        }
        phase2remoteid {
            ipnet {
                ipaddr = <internes Netzwerk beim FVS125G>;
                mask = <interne Subnetzmaske beim FVS125G>;
            }
        }
        phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
        accesslist = "permit ip any <internes Netzwerk beim FVS125G> 255.255.255.0";
    }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                        "udp 0.0.0.0:4500 0.0.0.0:4500";

}

// EOF

Nachfolgend die Einstellungen vom FVS124G. Zu finden sind beide notwendigen Punkte unter VPN

Zuerst muss IKE Policies angelegt werden. Danach VPN Policies:

Erklärungen:

Parameter	Erklärung	Beispiel
<öffentliche IP von Netgear FVS124G>	öffentliche IP-Adresse vom Netgear FVS124G	92.130.320.1
<öffentliche IP von FRITZ!Box>	öffentliche IP-Adresse von der FRITZ!Box	213.169.265.23
"<öffentlicher FQDN-Name der FRITZ!Box>"	ein Domänname, der auf die richtige öffentliche IP-Adresse der FRITZ!Box zeigt.	"fritz.box.lan"
<Kennwort>	mit diesem Kennwort wird die Verbindung verschlüsselt.	@ufb@red84/dEg34X
<internes Netzwerk der FRITZ!Box>	Das Netzwerk, dass hinter der FRITZ!Box verwendet wird.	172.20.168.0
<interne Subnetzmaske beim FRITZ!Box>	Die zugehörige Subnetzmaske bei der FRITZ!Box.	255.255.255.0
<internes Netzwerk beim FVS124G>	Das Netzwerk, dass hinter dem FVS124G verwendet wird.	192.168.1.0
<interne Subnetzmaske beim FVS124G>	Die zugehörige Subnetzmaske bei dem FVS124G.	255.255.255.0

Update 06.11.2011:

Es hat sich nach längeren Test herausgestellt, dass die Zeitangabe für die IPSec Phase II falsch war. Statt 3.600 Sekunden wird von der FRITZ!Box nämlich ein anderer Wert verlangt. Die Bilder wurden entsprechend aktualisiert. Damit läuft die Verbindung bei weiten stabiler als vorher.

Update 27.11.2011:

Ich hatte eine Nachfrage warum ich nun den Wert Null bei der IPSec Phase II verwende. Nun in diesem Fall fragt definitiv zuerst die FRITZ!Box nach einem neuem Schlüssel. An sich fragt das Gerät mit den niedrigeren Einstellungen zuerst nach und beide Zeitmesser gehen wieder auf Null zurück. Bei dem Netgear FVS124G ist selbst 28.800 Sekunden ein Problem und die Verbindung wird ständig getrennt. Das die FRITZ!Box nach einem neuem Schlüssel anfragt kann man sehr schön in den Logdateien sehen.

Hinweis: beim Kennwort kann die FRITZ!Box zeitweise ein Problem mit Sonderzeichen haben. Den genauen Grund weiß ich nicht, aber scheinbar gehen nicht alle Zeichen. Hier muss man etwas probieren.

Schlagwörter: Fritz!Box Fon WLAN 7390, FVS124G, Netgear, VPN

Andyt

Ich bin Blogger, Sporttaucher, Roadster-Fahrer und interessiere mich für Technik. Übrigens, folge mir auf verschiedenen sozialen Netzwerken (siehe Untermenü in der Fußzeile) oder abonniere meinen Blog via RSS-Feed oder telegram Channel (beides oben beim Hauptmenü).

Dieser Beitrag hat 4 Kommentare

Lambda 14. Mai 2013 Antworten

Super, hat mir sehr geholfen, weil ich aus unerfindlichen Gründen keine Verbindung mit dem Fritzfernzugang zwischen einer 7390 und einem SRX5308 hinbekommen habe. Jetzt funktioniert es. Werde aber noch aus Sicherheitsgründen die 3DES durch AES-256 austauschen

Zwei Fragen zu deiner Konfiguration:
always_renew = yes; its das die Einstellung für die Dauerverbindung?
Und wieso ist use_nat_t = no gesetzt?

Vielen Dank für Dein Script, Lambda
1. Andyt 14. Mai 2013
  
  Bitte gerne.
  
  Zu AES-256: würde mich interessieren ob das klappt. Habe kurz probiert aber keine stabile Leitung erhalten. Bitte um dein Feedback.
  
  Zu den zwei Fragen:
  always_renew = Bewirkt mehrere Funktionen: unter anderem, dass die Verbindung auch aufgebaut wird, wenn noch keine Daten an dieses Ziel gesendet wird. Ebenso wird die Verbindung aufgebaut, wenn die Leitung getrennt wurde. Im Grunde ist dies NUR für Gateway-to-Gateway Verbindungen zu verwenden.
  use_nat_t = Bei Point-to-Point VPN sind beide kompletten IP-Bereiche von jeder Seite zur anderen Seite erreichbar. Damit wird kein NAT-T benötigt. Die Verbindung erfolgt von einer internen Adresse über die VPN-Verbindung zur anderen internen Adresse. NAT-T ist für Verbindungen notwendig wo z.B. ein weiterer Router dazwischen hängt und dieser nicht sauber ein Passthrough oder je nach Konfiguration ein sauberes Routing durchführt. Bei letzterem muss die Adressbereich plus Gateway allen weiteren Routern bekannt sein. Einfacher erklärt wird NAT benötigt wo eine einzige IP-Adresse für viele andere genutzt werden soll. Beispiel: Internetverbindung für die eigenen internen Geräte. Das ist bei Point-to-Point VPN wie erwähnt anders.
2. Lambda 12. Juni 2013
  
  Kurze Rückmeldung:
  Nach einigen ernüchternen Experimenten mit der 4er Firmware, musste ich nach heftigen Problemen wieder zurück auf die 3er. Zur Zeit läuft wieder 3.0.7-29, alles andere erwies sich nicht stabil, bzw gingen grundlegende Funktionen wie anständiges Routing, automatisches Neuverbinden oder Load Balancing nicht mehr.
  Haben die bei Netgear die Beta-Tests abgeschafft? Die Foren sind voll mit unzufriedenen Kunden. Netgear ist gerade dabei sich vollends um ihren guten Namen zu bringen.
  Und nein, ich habe auch keine stabile AES-Verbindung hinbekommen. Mal ging sie, mal kurz, dann länger, dann wieder gar nicht, ohne dass etwas an der Konfiguration geändert worden wäre. Jedenfalls nicht nachvollziehbar.
3. Andyt 12. Juni 2013
  
  Danke für die Rückmeldung. Tja, mit instabiler Firmware hatte ich auch immer wieder mit Netgear zu kämpfen. Eigenartiger weise waren Business-Produkte empfindlicher und obwohl man es gerade dort anders erwarten könnte…
  
  Ich hatte jedenfalls immer Kontakt mit Netgear Support aufgesucht. Hat einmal besser und dann wieder schlechter funktioniert.

Andyt

Bitte teile den Artikel Diesen Inhalt teilen

Das könnte dir auch gefallen

technisches K.O. wegen Unwetter

Suche nach einem neuen Access Point

FRITZ!Box Fon WLAN 7390 und VPN

VPN-Einwahl schlägt mit “Fehler 87 Falscher Parameter” fehl

Dieser Beitrag hat 4 Kommentare

Schreibe einen Kommentar Antworten abbrechen

Diesen Inhalt teilen