VPN Tunnel mit FB 7170 mit Juniper Firewall

[JackBlack]

Hallo Leute,

Ich versuche schon seit einiger Zeit den Tunnel auf die Reihe zu bekommen aber leider klappt es nicht mit Phase 2 Phase 1 ist erfolgreich.

Der VPN Tunnel zwischen 2 FB funktioniert und auch mit einem VPN Client gehts.

Hat hier einer im Forum Erfahrung mit meiner Konstellation?

Als Firmware setze ich die Firmware-Version 29.04.55-10393 ein.

Gibt es hier eine gute Möglichkeit genauere Logfiles zu bekommen?

Habe ich die Möglichkeit die VPN Config zu tauschen ohne einen Neuboot machen zu müssen?

Danke für die Tips.

[frank_m24]

Hallo,

ich kenne die Kombination zwar nicht, aber wenn Phase 2 schief geht, dann stimmt entweder was in den angebotenen Verschlüsselungen (phase2ss) nicht oder die Subnetzeinstellungen stimmen nicht - letztere enthalten die Authentifizierungsinformationen für die Pahse 2.

[gero]

Ich weiß nicht, ob es noch weiter von Interesse ist, aber ich hatte beim Aufbau eines VPN FritzBox <-> Juniper Netscreen auch Schwierigkeiten. Scheinbar setzt die Fritzbox in Phase 2 bei der Verwendung von AES irgendwelche Flags, die die Juniper nicht versteht.

Folgendes Proposal hat sich bei mir als funktionierend herausgestellt:
Fritzbox: phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
Juniper: g2-esp-3des-sha

Die Proxy-ID auf der Juniper muss natürlich auch zu den Netzen in der .cfg für die Fritzbox passen.

[han-solo]

Hallo,

ist irgend jemand weitergekommen mit dem VPN zu einer Juniper Netscreen?
Ich probiere auch schon die ganze Zeit einen MAIN MODE zu realisieren.
Kann jemand helfen?

Hier meine Config:

Code:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Netscreen";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 211.128.31.15;
                localid {
		      fqdn = "hugo.dyndns.org";
		}
		remoteid {
		      ipaddr = 211.128.31.15;
                }
                mode = phase1_mode_idp;
                phase1ss = "alt/aes/sha";
                keytype = connkeytype_pre_shared;
                key = "geheim";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                          ipnet {
                		ipaddr = 192.168.178.0;
                		mask = 255.255.255.0;
                	}
                }
                phase2remoteid {
	             ipnet {
	       		ipaddr = 192.168.180.0;
	       		mask = 255.255.252.0;
	       	}
                }
                phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
                accesslist = "permit ip 192.168.180.0 255.255.252.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF

Im LOG der Netscreen sehe ich nur folgenden Eintrag wenn ich den Tunnel mit einem Rekey erzwinge.
Seltsmerweise sind in der Meldung die local und remote Netze vertauscht.
Ich hab das in der fritzbox.cfg auch schonmal gedreht, aber das brachte keine Änderung.

Code:

IKE<89.14.207.49> Phase 2: No policy exists for the proxy ID received: local ID (<192.168.180.0>/<255.255.252.0>, <0>, <0>) remote ID (<192.168.179.0>/<255.255.255.0>, <0>, <0>).

[LPW]

Hallo,

ist irgend jemand weitergekommen mit dem VPN zu einer Juniper Netscreen?
Ich probiere auch schon die ganze Zeit einen MAIN MODE zu realisieren.

AVM bietet doch nur den Aggressive Mode.

Mit freundlichen Grüßen
LPW

[han-solo]

Aber dies ist doch der MAIN Mode:

Code:

mode = phase1_mode_idp;

[han-solo]

Hallo,

hab den Tunnel zur Juniper Netscreen hinbekommen.
Ich habe es an einer Netscreen-5/GT getestet, aber die größeren Modelle haben ja die gleiche Software.

Also, hier die Config für die FritzBox:

Code:

/*
* c:\fritzbox.cfg
* Thu May 29 10:45:09 2008
*/

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Netscreen-5";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 169.254.1.1;
                remoteip = 211.128.31.15;
                localid {
		      fqdn = "hugo.dyndns.org";
		}
		remoteid {
		      ipaddr = 211.128.31.15;
		}
	
		mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "geheim";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                
                phase2localid {
                	ipnet {
                		ipaddr = 192.168.177.0;
                		mask = 255.255.255.0;
                	}
                }
                
		phase2ss = "esp-des|3des-all/ah-all/comp-no/pfs";
                accesslist = "permit ip any 192.168.175.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF

Und hier die Einstellungen für die Netscreen:

Code:

Phase1: 

Static IP Address/Hostname = name.dyndns.org (DynDNS der FritzBox) 

Preshared Key: ** 

Phase1 = pre-g2-3des-md5 

Mode = Main 




Phase2: 

Phase2 = g2-esp-3des-sha 

Tunnel Interface = <Interface wählen> 

Poxy-ID = local: 192.168.175.0/24 

Poxy-ID = remote: 192.168.177.0/24 

VPN-Monitor und Rekey aktivieren

Ich habe allerdings noch Probleme mit der DynDNS Adresse der FritzBox.
Wenn ich diese in der Netscreen bei Static-IP und/oder Dynamic-IP eintrage, baut sich der Tunnel nicht auf. Ich habe testweise die aufgelöste IP verwendet und damit geht es.

Ich werde noch ein wenig experimentieren aber vielleicht weiß auch hier jemand eine Lösung.

Gruß
HS

[Luigihausen]

@han-solo
Kannst Du das bitte mal etwas ausführlicher beschreiben, vielleicht mit ein paar Screenshots?
Ich möchte auch eine Verbindung zwischen (7270 <> Netzscreen 5GT) herstellen.

Mein lokales Netzwerk ist 192.168.70.x
IP Fritzbox 192.168.70.1
WAN Fritzbox 80.80.80.80

Netzscreen 5GT
Lokal 192.168.50.x
IP Netscreen 5GT 192.168.50.3
WAN Netscreen 90.90.90.90

Mit den folgenden Dingen kann ich nicht so viel anfangen:

local_virtualip = 169.254.1.1;
ipaddr = 192.168.177.0; (= Netzwerk Fritzbox = 192.168.70.0) ???
accesslist = "permit ip any 192.168.175.0 255.255.255.0"; (= Netzwerk Netscreen = 192.168.50.0) ???


Eine Active VPN Verbindung habe ich herstellen können. Nur komme ich leider nicht per Ping in das Netzwerk 192.168.50.x.

Fritzbox 7270 http://i35.*********com/v5eqtd.jpg

Netscreen 5GT http://i33.*********com/2uhqow9.jpg

*edit*
Was mir noch aufgefallen ist, dass die Dauer der Verbindung in der Fritz nur bis ca. 00:01:49 läuft und dann wieder bei 00:00:00 anfängt.

In der 5GT steht im LOG.
IKE<XX.XX.XX.XXX>: Received a notification message for DOI <1> <14> <NO_PROPOSAL_CHOSEN>.

[han-solo]

Hallo ich habe es leider noch nicht 100%ig hinbekommen.

local_virtualip = 169.254.1.1;
ipaddr = 192.168.177.0; (= Netzwerk Fritzbox = 192.168.70.0) ???
accesslist = "permit ip any 192.168.175.0 255.255.255.0"; (= Netzwerk Netscreen = 192.168.50.0) ???

local_virtualip ist immer "169.254.1.1". Das ist von AVM so vorgegeben.
ipaddr = 192.168.177.0 ist das C-Class Netz. Bei dir 192.168.70.0
permit ip any = Ist das Netz, welches auf der Gegenseite zugelassen werden soll. Bei dir 192.168.50.0 255.255.255.0

Aber die Beste Einstellung war bei mir bisher folgende
(Für x.x.x.x die feste WAN IP der Netscreen eintragen. K.A. od da auch dyndns funzt):

Code:

/*
* c:\fritzbox.cfg
* Thu May 29 10:45:09 2008
*/

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Netscreen";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 169.254.1.1;
                remoteip = x.x.x.x;
                
		mode = phase1_mode_idp;
                phase1ss = "alt/aes-3des/sha";
                keytype = connkeytype_pre_shared;
                key = "geheim";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                
                phase2localid {
                	ipnet {
                		ipaddr = 192.168.188.0;
                		mask = 255.255.255.0;
                	}
                }
                
                phase2remoteid {
		       	ipnet {
		       		ipaddr = 192.168.10.0;
		       		mask = 255.255.255.0;
		       	}
		}
                
		phase2ss = "esp-des|3des-all/ah-all/comp-no/pfs";
                accesslist = "permit ip any 192.168.10.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF

Einstellungen Netscreen Firewall
Phase1:

Static IP Address/Hostname = name.dyndns.org (DynDNS der FritzBox)

Preshared Key: geheim
Phase1 = pre-g2-3des-sha
Mode = Main

Phase2:

Phase2 = g2-esp-3des-sha
Tunnel Interface = <Interface wählen>
Poxy-ID = local: 192.168.10.0/24
Poxy-ID = remote: 192.168.188.0/24


Viel Erfolg. Bitte mitteilen wenn es einer endgültig hinbekommen hat.
Einen PING hab ich leider bisher nicht durchbekommen.

Gruß
HS

[Luigihausen]

Nun funktioniert es!

Code:

/*
* c:\fritzbox.cfg
* Thu May 29 10:45:09 2008
*/

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Netscreen-5";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = WAN IP Netscreen;
                localid {
		      fqdn = "WAN IP Heimnetzwerk"; 
		}
		remoteid {
		      ipaddr = WAN IP Netscreen;
		}
	
		mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "test";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                
                phase2localid {
                	ipnet {
                		ipaddr = 192.168.70.0;
                		mask = 255.255.255.0;
                	}
                }
                
		phase2ss = "esp-des|3des-all/ah-all/comp-no/pfs";
                accesslist = "permit ip any 192.168.50.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF

In der Netscreen 5GT habe ich dasTunnel Interface und die Poxy-ID nicht aktiviert.
Die VPN Policie noch erstellen und das wars.
Was etwas merkwürdig war: Ich habe nach dem es funktioniert hatt noch einmal die config in die Fritzbox importiert. Denn ich war mir nicht mehr zu 100% sicher welche Version ich nun verwendet hatte. Dann war die VPN auf einmal nicht mehr aktiv. Schon fast am verzweifeln, dann habe ich die VPN Policie noch einmal gelöscht und wieder erstellt und dann funktionierte es direkt wieder.

[birnenkind]

Hoi,

wenn du die Einstellungen deiner Fritzbox sicherst, ist ganz am Ende die VPN konfig. So kannst Du ohne lang rumzusuchen, die Einstellungen ueberpruefen..


gruessle

[Luigihausen]

Wieder was gelernt .Danke!

[black-tiger]

Eine Anmerkung von mir: Ich habe es ziemlich schnell geschafft, den Tunnel von der FritzBox-Seite zur SSG-Seite aufzubauen, aber umgekehrt ging es nicht: Die FB wollte scheinbar den Tunnel nicht "annehmen".

Um dies dennoch zu ermöglichen, musste ich in der SSG die local-ID in Phase 1 auf den dyn. Hostnamen der SSG setzen. Jetzt funktioniert's von beiden Seiten.

[michelmann]

Hallo Leute!

Das ist hier der einzige halbwegs brauchbare BEitrag den ich im Netz zum Thema Netscreen <vpn> FB gefunden habe. Leider sind die Listungs/Erläuterungen nicht immer so eindeutig. Ich teste nun schon ein paar Tage und bekomme einfach keinen Tunnel hin.

Ich möchte eine 7390 mit einer NS25 per tunnel verbinden. Bislang hatte ich zwei NS getunnelt. draytec vigor und NS hatte ich auch hinbekommen, aber all dieses Wissen scheint mir hier nichts zu nützen.

Ich würde mich total freuen, wenn einer der User, die es hinbekommen hatte hier posten oder sich mit mir in Verbindung setzen.

schon mal vielen Dank aus dem tefen Westen......

[gero]

Hi Michelmann,

bei mir läuft es sauber mit einem Routing Based VPN auf Netscreen-Seite. Zur Erläuterung: Netz auf Netscreen-Seite: 192.168.0.0/23, Netz auf Fritzbox-Seite 192.168.69.0/24.

Hier meine Config (leicht anonymisiert)

Netscreen:

Code:

set zone id 101 "VPN"
set zone "VPN" tcp-rst 
set interface "tunnel.2" zone "VPN"
set interface tunnel.2 ip unnumbered interface ethernet1
set address "VPN" "Fritzbox-Netz" 192.168.69.0 255.255.255.0
set address "Trust" "Netscreen-Netz" 192.168.0.0 255.255.254.0
set ike gateway "gero@fritzbox" address fritzbox.dyndns.org Main local-id "netscreen.dyndns.org" outgoing-interface "ethernet3" preshare "PSK" proposal "pre-g2-aes128-sha" "pre-g2-aes256-sha" "rsa-g2-3des-sha"
set vpn "gero@fritzbox" gateway "gero@fritzbox" no-replay tunnel idletime 0 proposal "g2-esp-3des-sha" 
set vpn "gero@fritzbox" id 3 bind interface tunnel.2
set vpn "gero@fritzbox" proxy-id local-ip 192.168.0.0/23 remote-ip 192.168.69.0/24 "ANY" 
set route 192.168.69.0/24 interface tunnel.2 preference 20

Dazu müsstest du noch per Policy den Traffic erlauben zwischen der Zone Trust (oder wo auch immer deine Rechner hängen) zur neuen Zone VPN. Damit kannst du auch ordentlich definieren, was erlaubt ist und was nicht, mit PolicyBased VPN geht das ja nicht so fein.


Auf der Fritbox läuft dazu passend:

Code:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "netscreen.dyndns.org";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "netscreen.dyndns.org";
                localid {
                        fqdn = "fritzbox.dyndns.org";
                }
                remoteid {
                        fqdn = "netscreen.dyndns.org";
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "PSK";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.69.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.254.0;
                        }
                }
                phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.254.0";
        }  ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Ich hoffe mal, dass das keine Fragen mehr offen lässt

Viele Grüße,

Gero

[black-tiger]

Hi,

Bei mir läuft der Tunnel auch sehr stabil mit einer FB 7270 und einer SSG-5 (route based).

Es kann sein, dass Du in der Juniper noch ein neues Proposal mit AES-256 anlegen musst. Auf der FritzBox hast Du keine guten Loggingmöglichkeiten; deswegen mein Tipp: Versuche vom Netz der FB den Tunnel aufzubauen und schau dann in den Logs der NS25 nach, was evtl. nicht passt. Passe dann die Konfiguration auf der Netscreen Seite an.

[michelmann]

Hallo Leute!

Vielen 1000 Dank für das superschnelle Antworten auf meine Frage.

Ich habe es mit den Angaben von Gero und black-tiger geschafft. Sehr wichtig war für mich auch der Hinweis auf das manuelle Anlegen des Proposal. Das Fritz Listung konnte ich direkt übernehmen, nur noch personalisieren.

Etwas Hirnschmalz war beim Netscreen Listing gefragt, ich hatte bislang immer nur mit der WebGui zu tun. Aber wenn man genau liest, kann man das auch in der Gui finden.

Wenn ich meine private Doku fertig habe, werde ich mal posten, wie die Policie angelegt wird. Ist vielleicht der Vollständigkeit halber interessant, wenn mal jemand vor dem gleichen Problem steht.

Viele liebe Grüße aus dem tiefen Westen......

[rosch]

Hallo allerseits,
trotz der schönen Anleitung komm ich leider nicht zum Ziel.
Ich weiß nicht genau, wie in @geros Beispielkonfiguration mit den interfaces umgehen soll. Bei mir gibt es keine interfaces "ethernet", auch sind bei mir die proposals pre-g2 nicht vorhanden.
Deshalb läuft das einfache Einspielen der Konfiguration nicht. Leider kenn ich mich mit dem Netscreen nicht gut genug aus, um die fehlenden Einträge zu korrigieren. Vielleicht habt ihr einen Tip?
Hier das Listing des routers:

Code:

set clock ntp
set clock timezone -5
set vrouter trust-vr sharable
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
unset auto-route-export
set protocol ospf
set enable
set auto-vlink
set rfc-1583
exit
exit
set auth-server "Local" id 0
set auth-server "Local" server-name "Local"
set auth default auth server "Local"
set auth radius accounting port 1646
set admin name "admin"
set admin password "password"
set admin auth timeout 10
set admin auth server "Local"
set admin format dos
set zone "Trust" vrouter "trust-vr"
set zone "Untrust" vrouter "trust-vr"
set zone "VLAN" vrouter "trust-vr"
set zone "Untrust-Tun" vrouter "trust-vr"
set zone "Trust" tcp-rst 
set zone "Untrust" block 
unset zone "Untrust" tcp-rst 
set zone "MGT" block 
set zone "VLAN" block 
set zone "VLAN" tcp-rst 
set zone "Trust" screen alarm-without-drop
set zone "Trust" screen icmp-flood
set zone "Trust" screen udp-flood
set zone "Trust" screen winnuke
set zone "Trust" screen port-scan
set zone "Trust" screen ip-sweep
set zone "Trust" screen tear-drop
set zone "Trust" screen syn-flood
set zone "Trust" screen ip-spoofing
set zone "Trust" screen ping-death
set zone "Trust" screen ip-filter-src
set zone "Trust" screen land
set zone "Trust" screen syn-frag
set zone "Trust" screen tcp-no-flag
set zone "Trust" screen unknown-protocol
set zone "Trust" screen ip-bad-option
set zone "Trust" screen ip-record-route
set zone "Trust" screen ip-timestamp-opt
set zone "Trust" screen ip-security-opt
set zone "Trust" screen ip-loose-src-route
set zone "Trust" screen ip-strict-src-route
set zone "Trust" screen ip-stream-opt
set zone "Trust" screen icmp-fragment
set zone "Trust" screen icmp-large
set zone "Trust" screen syn-fin
set zone "Trust" screen fin-no-ack
set zone "Trust" screen limit-session source-ip-based
set zone "Trust" screen syn-ack-ack-proxy
set zone "Trust" screen block-frag
set zone "Trust" screen limit-session destination-ip-based
set zone "Untrust" screen alarm-without-drop
set zone "Untrust" screen icmp-flood
set zone "Untrust" screen udp-flood
set zone "Untrust" screen winnuke
set zone "Untrust" screen port-scan
set zone "Untrust" screen ip-sweep
set zone "Untrust" screen tear-drop
set zone "Untrust" screen syn-flood
set zone "Untrust" screen ip-spoofing
set zone "Untrust" screen ping-death
set zone "Untrust" screen ip-filter-src
set zone "Untrust" screen land
set zone "Untrust" screen syn-frag
set zone "Untrust" screen tcp-no-flag
set zone "Untrust" screen unknown-protocol
set zone "Untrust" screen ip-bad-option
set zone "Untrust" screen ip-record-route
set zone "Untrust" screen ip-timestamp-opt
set zone "Untrust" screen ip-security-opt
set zone "Untrust" screen ip-loose-src-route
set zone "Untrust" screen ip-strict-src-route
set zone "Untrust" screen ip-stream-opt
set zone "Untrust" screen icmp-fragment
set zone "Untrust" screen icmp-large
set zone "Untrust" screen syn-fin
set zone "Untrust" screen fin-no-ack
set zone "Untrust" screen limit-session source-ip-based
set zone "Untrust" screen syn-ack-ack-proxy
set zone "Untrust" screen block-frag
set zone "Untrust" screen limit-session destination-ip-based
set zone "V1-Untrust" screen tear-drop
set zone "V1-Untrust" screen syn-flood
set zone "V1-Untrust" screen ping-death
set zone "V1-Untrust" screen ip-filter-src
set zone "V1-Untrust" screen land
set interface "trust" zone "Trust"
set interface "untrust" zone "Untrust"
unset interface vlan1 ip
set interface trust ip 10.10.10.1/24
set interface trust nat
set interface untrust ip public.ip
set interface untrust route
set interface trust proxy dns
set interface untrust proxy dns
unset interface vlan1 bypass-others-ipsec
unset interface vlan1 bypass-non-ip
set interface trust ip manageable
set interface untrust ip manageable
set interface untrust dhcp client enable
unset interface untrust dhcp client settings update-dhcpserver
set interface trust dhcp server service
set interface trust dhcp server enable
set interface trust dhcp server option lease 1440 
set interface trust dhcp server option gateway 10.10.10.1 
set interface trust dhcp server option netmask 255.255.255.0 
set interface trust dhcp server option domainname domain.name.net. 
set interface trust dhcp server option dns1 8.8.8.8 
set interface trust dhcp server option dns2 8.8.4.4 
unset interface trust dhcp server config next-server-ip
set interface trust dip interface-ip incoming
set interface untrust dip interface-ip incoming
set flow tcp-mss
unset flow tcp-syn-check
set domain domain.name.net.
set pki authority default scep mode "auto"
set pki x509 default cert-path partial
set dns host dns1 8.8.8.8
set dns host dns2 8.8.4.4
set dns host dns3 0.0.0.0
set dns host schedule 06:28
set dns proxy
set dns proxy enable
set address "Trust" "10.10.10.0/24" 10.10.10.0 255.255.255.0
set ike respond-bad-spi 1
unset ike ikeid-enumeration
unset ike dos-protection
unset ipsec access-session enable
set ipsec access-session maximum 5000
set ipsec access-session upper-threshold 0
set ipsec access-session lower-threshold 0
set ipsec access-session dead-p2-sa-timeout 0
unset ipsec access-session log-error
unset ipsec access-session info-exch-connected
unset ipsec access-session use-error-log
set attack db sigpack base
set attack db mode Update
set attack db schedule daily 00:00
unset av http keep-alive
set av profile "scan-mgr"
set ftp scan-mode  scan-all  
set ftp decompress-layer  2  
set http scan-mode  scan-all  
set imap scan-mode  scan-all  
set imap decompress-layer  2  
set pop3 scan-mode  scan-all  
set pop3 decompress-layer  2  
set smtp scan-mode  scan-all  
set smtp decompress-layer  2  
exit
set url protocol websense
exit
set anti-spam profile ns-profile
 set sbl default-server enable
exit
set policy id 1 from "Trust" to "Untrust"  "Any" "Any" "ANY" permit 
set policy id 1
exit
set nsmgmt bulkcli reboot-timeout 60
set nsmgmt bulkcli reboot-wait 0
set ssh version v2
set config lock timeout 5
set ntp server "ntps1-0.cs.tu-berlin.de"
set ntp server backup1 "ntps1-1.cs.tu-berlin.de"
set ntp server backup2 "0.0.0.0"
set ntp interval 150
set ntp max-adjustment 30
set modem speed 115200
set modem retry 3
set modem interval 10
set modem idle-time 10
set snmp port listen 161
set snmp port trap 162
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
unset add-default-route
exit
set interface trust protocol ospf area 0.0.0.0
set interface trust protocol ospf link-type p2p
set interface trust protocol ospf enable
set interface trust protocol ospf cost 1
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
exit

[poggenpower95]

Hallo,


Übrigens gibt es eine schöne Liste über die IKE-Fehlermeldungen:
http://www.nwlab.net/tutorials/VPN-FritzBox/

Ich habe es jetzt hier bei mir sauber im Aggressive Mode aufgesetzt mit einer Netscrren, die eine Fest IP-Adresse hat.
Der Vorteil ist, dass man gar nicht mehr vom DYN-DNS uns den ZUverlässigen Updates abhängig ist. Muss eben eine Fest IP-Adresse vorhanden sein.
Die Konfigurationsteile sehen dann so aus:

Code:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "fw01";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = xxx.yyy.227.8;
                remote_virtualip = 0.0.0.0;
                localid {
                        fqdn = "fblan";
                }
                remoteid {
                        ipaddr = "xxx.yyy.227.8";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "geheim";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.254.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = xxx.yyy.225.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
                accesslist = "permit ip any xxx.yyy.225.0 255.255.255.0";
        }  ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
	}

und auf der Netscreen:

Code:

set interface "tunnel.2" zone "vpn"
set interface tunnel.2 ip unnumbered interface ethernet1
set ike p1-proposal "pre-g2-aes256-sha" preshare group2 esp aes256 sha-1 hour 8
set ike gateway "gw-fblan" address 0.0.0.0 id "fblan" Aggr local-id "xxx.yyy.227.8" outgoing-interface "ethernet3" preshare "geheim" proposal "pre-g2-aes128-sha" "rsa-g2-3des-sha" "pre-g2-aes256-sha"
set ike gateway "gw-fblan" nat-traversal udp-checksum
set ike gateway "gw-fblan" nat-traversal keepalive-frequency 5
set vpn "p2-fblan" gateway "gw-fblan" no-replay tunnel idletime 0 proposal "g2-esp-3des-sha"  "g2-esp-aes128-sha"
set vpn "p2-fblan" id 1 bind interface tunnel.2
set vpn "p2-fblan" proxy-id local-ip xxx.yyy.225.0/24 remote-ip 192.168.2.0/23 "ANY"
set policy id 999001 from "vpn" to "Trust"  "Any-IPv4" "Any-IPv4" "ANY" permit log
set route 192.168.2.0/23 interface tunnel.2