Hallo zusammen,
ich versuche eine LAN to LAN Verbindung von der be.ip zu einem Draytek Router aufzubauen. Mit einer Fritzbox zum Draytek ist das kein Problem. Die be.ip kann die Verbindung einfach nicht aufbauen. :-(. Wo liegt der Fehler in der be.ip Konfig ? Internet und Telefonie funktionieren. Die be.ip soll die Fritzbox ersetzen.
Danke im voraus.
Das (funktionierende) Konfigfile für die Fritzbox schaut so aus.
/*
*/
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "zentrale.draytek-router.de";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "zentrale.draytek-router.de";
localid {
fqdn = "filiale.be.ip.de";
}
remoteid {
fqdn = "zentrale.draytek-router.de";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "1234567890";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.150.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-all/comp-all/pfs";
accesslist = "permit ip any 192.168.150.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
In der be.ip hab ich folgende Konfiguration vorgenommen (Netzwerk der be.ip 192.168.178.0, be.ip hat Adresse 192.168.178.1:
IPSec-Peers:
Peer-Parameter:
Administrativer Status: Aktiv
Beschreibung: VPN to zentrale
Peer-Adresse: IPv4 bevorzugt und die öffentliche IP der Zentrale angegeben
Peer-ID: FQDN und zentrale.draytek-router.de
IKE: IKEv1
PSK: 1234567890
IP Version des Tunnels: IPv4
IP-V4 Schnittstellenrouten:
Sicherheitsrichtlinie: Vertrauenswürdig
IPv4 Adressvergabe: Statisch
Standardroute: off
Lokale IP Adresse: 192.168.178.1
Routeneinträge: 192.168.150.0 255.255.255.0 1
erweiterte IPSec Optionen:
Phase1 Profil: Phase_1_IKE1
Phase2 Profil: Phase_2
XAUTH : nichts
Anzahl erlaubter Verbindungen : ein Benutzer
Startmodus: immer aktiv
Erweitere IP Optionen:
Öffentliche Schnittstelle: BR0
Phase-1-Parameter:
Beschreibung: Phase_1_IKE1
Proposals: DES MD5, DES SHA1, 3DES MD5
DH Gruppe: 2 (1024 Bit)
Lebensdauer: 28800 0Kb
Auth-Methode: Preshared Keys
Modus: Aggressiv
Lokaler ID-Typ FQDN
Lokaler ID Wert: filiale.be.ip.de
Erweitert:
Erreichbarkeitsprüfung: Automatisch
Blockzeit: 30s
NAT: aktiviert
Phase-2-Parameter (IPSEC)
Beschreibung: Phase_2
Proposals: AES SHA1, AES MD5
PFS Gruppe verwenden: aktiv 2 (1024 Bit)
Lebensdauer: 3600 0Kb 80%
Erweitert:
IP-Komprimierung: off
Erreichbarkeitsprüfung: Automatisch
PMTU: aktiviert
ich versuche eine LAN to LAN Verbindung von der be.ip zu einem Draytek Router aufzubauen. Mit einer Fritzbox zum Draytek ist das kein Problem. Die be.ip kann die Verbindung einfach nicht aufbauen. :-(. Wo liegt der Fehler in der be.ip Konfig ? Internet und Telefonie funktionieren. Die be.ip soll die Fritzbox ersetzen.
Danke im voraus.
Das (funktionierende) Konfigfile für die Fritzbox schaut so aus.
/*
*/
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "zentrale.draytek-router.de";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "zentrale.draytek-router.de";
localid {
fqdn = "filiale.be.ip.de";
}
remoteid {
fqdn = "zentrale.draytek-router.de";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "1234567890";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.150.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-all/comp-all/pfs";
accesslist = "permit ip any 192.168.150.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
In der be.ip hab ich folgende Konfiguration vorgenommen (Netzwerk der be.ip 192.168.178.0, be.ip hat Adresse 192.168.178.1:
IPSec-Peers:
Peer-Parameter:
Administrativer Status: Aktiv
Beschreibung: VPN to zentrale
Peer-Adresse: IPv4 bevorzugt und die öffentliche IP der Zentrale angegeben
Peer-ID: FQDN und zentrale.draytek-router.de
IKE: IKEv1
PSK: 1234567890
IP Version des Tunnels: IPv4
IP-V4 Schnittstellenrouten:
Sicherheitsrichtlinie: Vertrauenswürdig
IPv4 Adressvergabe: Statisch
Standardroute: off
Lokale IP Adresse: 192.168.178.1
Routeneinträge: 192.168.150.0 255.255.255.0 1
erweiterte IPSec Optionen:
Phase1 Profil: Phase_1_IKE1
Phase2 Profil: Phase_2
XAUTH : nichts
Anzahl erlaubter Verbindungen : ein Benutzer
Startmodus: immer aktiv
Erweitere IP Optionen:
Öffentliche Schnittstelle: BR0
Phase-1-Parameter:
Beschreibung: Phase_1_IKE1
Proposals: DES MD5, DES SHA1, 3DES MD5
DH Gruppe: 2 (1024 Bit)
Lebensdauer: 28800 0Kb
Auth-Methode: Preshared Keys
Modus: Aggressiv
Lokaler ID-Typ FQDN
Lokaler ID Wert: filiale.be.ip.de
Erweitert:
Erreichbarkeitsprüfung: Automatisch
Blockzeit: 30s
NAT: aktiviert
Phase-2-Parameter (IPSEC)
Beschreibung: Phase_2
Proposals: AES SHA1, AES MD5
PFS Gruppe verwenden: aktiv 2 (1024 Bit)
Lebensdauer: 3600 0Kb 80%
Erweitert:
IP-Komprimierung: off
Erreichbarkeitsprüfung: Automatisch
PMTU: aktiviert
