Nov 272011
 
  • Betrifft: Site-2-Site VPN Verbindung mittels IPSec
  • System: AVM FRITZ!Box Fon WLAN 7390 und Microsoft ISA Server 2006

Mittlerweile habe ich ebenso eine stabile VPN Verbindung zwischen der AVM FRITZ!Box Fon WLAN 7390 und dem Microsoft¬†ISA Server 2006 hergestellt. Hierzu gibt es im Internet eine andere Quelle, wo eine Verbindung mit dem Nachfolgeprodukt Microsoft TMG 2010 durchgef√ľhrt wurde: Site to Site VPN mit der AVM Fritzbox 7390 und Microsoft TMG. Die dort gefundenen Angaben funktionierten bei mir weder mit dem ISA Server noch mit dem TMG 2010. Zwar wird dort angeben, dass es eigentlich keine professionelle L√∂sung ist, aber es werden standardisierte Verfahren verwendet, die je nach gew√§hlten kein Sicherheitsproblem darstellen.

Hier die Einstellung f√ľr die FRITZ!Box (erneut ohne der Software "FRITZ!Box Fernzugang einrichten" erstellt):

/*
* C:\fritzbox.cfg
* Datum
*/
 
vpncfg {
    connections {
        enabled = yes;
        conn_type = conntype_lan;
        name = "ISA Server 2006";
        always_renew = yes;
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = ;
        local_virtualip = 0.0.0.0;
        remoteip = ;
        remote_virtualip = 0.0.0.0;
        remotehostname = "";
        localid {
            fqdn = "";
        }
        remoteid {
            fgdn = "";
        }
        mode = phase1_mode_idp;
        phase1ss = "alt/all-no-aes/all";
        keytype = connkeytype_pre_shared;
        key = "";
        cert_do_server_auth = no;
        use_nat_t = no;
        use_xauth = no;
        use_cfgmode = no;
        phase2localid {
            ipnet {
                ipaddr = ;
                mask = ;
            }
        }
        phase2remoteid {
            ipnet {
                ipaddr = ;
                mask = ;
            }
        }       
        phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
        accesslist = "permit ip any ";
    }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                                              "udp 0.0.0.0:4500 0.0.0.0:4500";

}

// EOF

Nachfolgend die Einstellungen f√ľr den ISA Server 2006. Die ersten Einstellungen erfolgen √ľber den Assistenten:

isa_2006_standort_vpn_1isa_2006_standort_vpn_2isa_2006_standort_vpn_3isa_2006_standort_vpn_4isa_2006_standort_vpn_5isa_2006_standort_vpn_6isa_2006_standort_vpn_7

Nachfolgend noch zwei Einstellungen, die nicht √ľber den Assistent abgefragt werden. Es geht um die IPSec Konfiguration f√ľr Phase I und II. Bei Phase II kann bei Sitzungsschl√ľsseleinstellungen der Standardwert bei "Neue Schl√ľssel alle:" mit 28.800 Sekunden belassen werden. Im AVM VPN-Portal steht oft 3.600 Sekunden. Damit kommt zumindest meine FRITZ!Box √ľberhaupt nicht klar. Die Verbindung wird immer wieder unterbrochen. Daher besser einen h√∂heren Wert angeben oder gar kein Wert. Bei Versuchen wurde festgestellt, es ist besser die FRITZ!Box initiiert nach Zeitablauf einen neuen Schl√ľssel. Damit habe ich definitiv eine stabilere Verbindung erhalten.

isa_2006_ipsec_phase1isa_2006_ipsec_phase2

 

Erklärungen:

Parameter Erklärung Beispiel

IP-Adresse des lokalen VPN-Gateways
öffentliche IP-Adresse vom ISA Server 2006 92.130.320.1

IP-Adresse des Remote-VPN-Gateways
öffentliche IP-Adresse von der FRITZ!Box 213.169.265.23
"" ein Domänname, der auf die richtige öffentliche IP-Adresse der FRITZ!Box zeigt. "fritz.box.lan"
mit diesem Kennwort wird die Verbindung verschl√ľsselt. @ufb@red84/dEg34X

IP-Adressbereich des Remotestandortnetzwerk
Das Netzwerk, dass hinter der FRITZ!Box verwendet wird. 172.20.168.0
Die zugehörige Subnetzmaske bei der FRITZ!Box. 255.255.255.0
Das Netzwerk, dass hinter dem FVS124G verwendet wird. 192.168.1.0
Die zugehörige Subnetzmaske bei dem FVS124G. 255.255.255.0

Anmerkungen:

Je nach Firmware der FRITZ!Box scheinen nicht alle Zeichen beim Kennwort m√∂glich zu sein. Mein Tipp ist zuerst nur Gro√ü-, Kleinbuchstaben und Zahlen probieren. Bei entsprechender L√§nge sollte dies f√ľr erste Versuche kein Problem darstellen. Sonderzeichen gehen nicht immer.

F√ľr die IPSec Phase II Konfiguration sollte bei der Schl√ľsseleinstellung ein hoher Wert eingestellt sein. Der genaue Wert von der FRITZ!Box ist mir nicht bekannt. Es wird aber definitiv einer verwendet, denn das merkt man wunderbar bei den Logdateien. An sich fragt das Ger√§t mit dem niedrigeren Einstellungen zuerst nach und beide Zeitmesser gehen wieder auf Null zur√ľck.

Die gewählte IP-Adresse vom ISA Server 2006 bzw. TMG 2010 muss die primäre IP-Adresse sein, sonst funktioniert dies mit der FRITZ!Box nicht. Bei einer VPN-Standort-zu-Standort-Verbindung zwischen zwei ISA Server 2006 ist dies zweitrangig.

  6 Antworten zu “VPN zwischen FRITZ!Box Fon WLAN 7390 und Microsoft ISA Server 2006”

Kommentare (6)
  1. Hallo,

    versuche auch verzweifelt, eine VPN Verbindung FritzBoxTMG Server hinzubekommen.
    Habe allerdings schon die allerneueste Firmware auf meiner 7390 Box und nur eine dynamische IP Adresse am Fritzbox WAN Port.
    Hast Du es mal unter dieser Konstellation einmal getestet?

    mfG Olaf

    • Der TMG ben√∂tigt f√ľr Standort-2-Standort VPN eine fixe IP-Adresse der Gegenstelle. Mit dynamischen IP-Adresse oder gar DNS Namen kann der nicht umgehen. Man br√§uchte dort ein Skript, dass immer wieder von einem DNS Namen die jeweilige IP-Adresse erh√§lt und dann in der Einstellung ersetzt. Daf√ľr m√ľsste es L√∂sungen geben und ist nur eine zus√§tzliche Erweiterung und sicher kein Problem.

      Das eigentliche Problem d√ľrfte aber die Fritz!Box sein, denn die reagiert bei Eingabe eines DNS Namen anders als mit der Eingabe einer IP-Adresse. Nach meinen bisherigen Tests meldet die Fritz!Box den DNS Namen und nicht die IP-Adresse an die Gegenstelle. Deshalb kam bei mir keine Verbindung zustande, da der TMG eine IP-Adresse erwartet und keinen Namen. Dabei ist es egal, ob sich die IP-Adresse zum Namen √§ndert oder nicht. W√ľrde die Fritz!Box einfach nur den DNS Namen in eine IP-Adresse umwandeln und damit arbeiten, dann m√ľsste es in der Theroie klappen.

      Testweise kannst es mal probieren mit der aktuell zugewiesenen IP-Adresse. So schnell √§ndern sich die ja nicht. Neustart der Fritz!Box ist ja nicht notwendig. Damit m√ľsste es f√ľr einen ersten Test funktionieren. Das Problem mit dynamischen IP-Adresse bleibt aber dann trotzdem. Man m√ľsste immer wieder das Skript aktualisisieren und in der Fritz!Box einspielen. Ob das automatisch machbar ist? Ich w√ľsste nicht wie.

      Damit die Antwort: ja probiert, aber nicht geschafft. Bei dynamischen IP-Adresse muss man immer zwingend auf DNS Namen ausweichen und damit funktioniert das Ganze zwischen Fritz!Box und ISA 2006 bzw. TMG 2010 nicht mehr.

      Aber vielleicht hast du Gl√ľck und in der neuesten Fritz!OS (seit Cebit 2012) hat sich hierbei was getan? Jedenfalls m√ľsstest du einfach “< √∂ffentliche IP von FRITZ!Box>” im oben genannten Skript mit dem DNS Namen ersetzen. Also von deinem DynDNS Account, wie z.B. “olaf.dyndns.org”, das man leicht √ľber die FRITZ!Box registrieren kann.

    • Achja, kleiner Zusatz: FRITZ!OS 05.20 hab ich noch nicht eingespielt. Ich verwende nach wie vor die Vorg√§ngerversion.

    • Habe nun das verl√§ngerte Wochenende genutzt und die neueste Firmware eingespielt. Meine Konfiguration l√§uft weiterhin stabil ohne Probleme. Sehr freut mich nun endlich das Datenvolumen sehen zu k√∂nnen.

  2. Hallo Olaf,

    habe das gleiche Problem wie du

    Hast du jemals eine Lösung finden können?

    • Hallo Viktor,

      Mit der FRITZ!OS 5.20 hatte ich √ľberhaupt kein Problem. Die FRITZ!OS 5.21 hatte ich nicht in Verwendung. Mit der neuesten FRITZ!OS 5.22 habe ich Stabilit√§tsprobleme. Die Datenverbindung klappt, aber sobald Daten √ľbertragen werden, bricht die Fritz!Box zusammen und irgendwann h√§ngt sich die Internetleitung auf.

      Nebenbei ist oft ein Fehler bei den IP-Adresse zu finden. Es muss beim ISA/TMG die prim√§re bzw. Hauptadresse sein. Ebenso m√ľssen die internen IP-Adressen zusammenpassen. Ebenso darf das Kennwort nicht zu lange sein bzw. spezielle Zeichen (u.a. Sonderzeichen) werden nicht immer unterst√ľtzt. F√ľr Testzwecke ein einfachers (Zahlen, Buchstaben) verwenden.

      Du hast auch dynamische Adressen? Das ist wohl die gr√∂√üte H√ľrde…

 Antworten

(erforderlich)

(erforderlich)