RV042 / VPN einstellen, step by step

Ja das Gleiche will ich auch!

Hat jemand dieses Problem in den Griff bekommen?
Das ist glaub ich net ganz banal.
Angel wie weit bist DU?

Ich muß auch den RV042 mit der Fritzbox über vpn koppeln wer das schonmal hingebogen hat bitte melden.
Gruß M.

VPN Frizbox <--->Cisco RV042 & Linksys RV042

Ich habe es selbst hingebogen!

Hier Die RV Einstellungen!
Siehe Anhang!

Dieses Setup sieht nun vor das der Linksys eine Feste IP Adresse hat.
Und die Fritzbox eine Dynamische! Dies ist bei abweichenden Konfigurationen
zu beachten und entsprechend zu Ändern.

Nun Kommen zu VPN.CFG Der Fritzbox.



Ich hoffe Ihr könnt das Brauchen!
Ach ja Der sichere Schlüssel sollte einen möglichst lange Kombination aus Buchstaben Sonderzeichen und Zahlen sein.
Viel Spass Damit!

Hallo, hab das script, sowie die Einstellungen von HyBird übernommen. Auf einer Fritzbox 6360 und einem Linksys RV042-2. Es wird auch eine Verbindung erfolgreich aufgebaut (zumindest wird diese grün bei der Fitzbox angezeigt, und auch im Linksys wird der Tunnel erfolgreich angezeigt). Trotzdem kann ich nicht die Rechner auf der anderen Seite an pingen bzw. wird der Tunnel nicht gefunden.
Hier mein Script:


vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Linksys RV042-2";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = ***.***.***.***;
remote_virtualip = 0.0.0.0;
localid {
fqdn = "***.dyndns.**";
}
remoteid {
ipaddr = ***.***.***.***;
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "*****************";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.129.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.128.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-des|3des-all/ah-all/comp-all/pfs";
accesslist = "permit ip any 192.168.128.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

Besten Dank schon mal für weitere Hilfe.

setz mal always renew auf no.
und teste es nochmal.

Leider wird dann gar keine Verbindung aufgebaut. Muss ich eventuell irgendwelche routen setzen, damit die Fritzbox die 128 in den Tunnel leitet? oder sollte da automatisch passieren ?

ich hatte die oben beschriebene config über ein jahr am laufen.
Hängt der RV042 hinter ner fritzbox an vdsl?
Oder baut er die Internetverbindungen selbst auf?
Ist beim linksys der richtige wan port in der vpn config eingestellt?
hast du den key wirklich richtig eingetragen (Vesuch mal was einfaches Narrensicheres)?
Ist die Firmware auf beiden geräten aktuell?
Sind deine IP adressen fest oder dynamisch?
Manche kabelnetzbetreiber haben noch eine Nat Stufe im segment.
Hier könnte
"use_nat_t = yes"
und einen Haken bei use NAT Traversal im Linksys helfen.


@data-warp: Hast Du es geschafft?

Hallo HyBird,

vielen Dank für Deine detaillierte Anleitung zum Verbinden einer Fritz!Box mit dem Cisco RV042. Diese hat mich bewogen, einen Cisco RV042 für meine LAN-zu-LAN-Kopplung zwischen einer Fritz!Box 7390 am DSL-Netz der Deutschen Telekom und einem DSL-Anschluss der A1 Telekom zu verwenden, bei dem ich noch keinen VPN-tauglichen Router habe.

An und für sich wollte ich am DSL-Anschluss der A1 Telekom der Einfachheit halber ebenfalls eine Fritz!Box 7390 einsetzen, aber diese unterstützt nicht den von der A1 Telekom verwendeten Modus NAT Overload. Übergabepunkt der A1 Telekom ist ein Ethernet-Port an einem DSL-Modem+Router, auf den man als Kunde keinen Konfigurationszugriff hat. Zwar kann man eine Fritz!Box auch in einem reinen Router-Betrieb ohne DSL-Modem betreiben und somit hinter den Router der A1 Telekom schalten, aber dann steht auf der Fritz!Box nicht mehr der VPN-Dienst zur Verfügung. Davon habe ich mich bereits überzeugt. Der AVM-Support hat mir bestätigt, dass es in dieser Konstellation keine VPN-Unterstützung mit einer Fritz!Box gibt.

Der Router der A1 Telekom ist auf seiner LAN-Seite mit einer IP-Adresse in einem 255.255.255.252 Subnetz konfiguriert. In solch einer Subnet-Mask sind netto nur zwei IP-Adressen verwendbar. Die andere IP-Adresse aus dem 255.255.255.252 Subnetz habe ich auf der WAN-Seite des Cisco RV042 konfiguriert. Diese IP-Adresse stellt meine öffentlich erreichbare IP-Adresse im Internet dar. Ohne VPN funktioniert der Zugriff aufs Internet jedenfalls über den Cisco RV042.

Ich habe nun Deine (HyBird) Konfiguration 1:1 mit abgewandelten IP-Adressen und Shared Secret für das VPN am Cisco RV042 übernommen und das Gegenstück auf meiner Fritz!Box 7390 eingespielt. Deine Anleitung ließ dabei keine Fragen offen. Dennoch bleibt der Zustand des VPNs am Cisco RV042 immer auf "waiting for connection", auch wenn ich zB im LAN hinter dem Cisco RV042 mittels Ping eine Adresse im entfernten LAN anspreche. Leider ist mir nicht klar, wie ich am Cisco RV042 und an der Fritz!Box 7390 vernünftig debuggen kann, denn in den Log Files beider Geräte finde ich gar nichts.

Meine Fritz!Box7390 hat FRITZ!OS 06.04. Der Cisco RV042 ist vom Typ V03 und habe ich nach den ersten Fehlversuchen von der Firmware-Vorgängerversion v4.2.2.08 von Mai 2013 auf v4.2.3.03 (Mar 19 2014 19:59:48) aktualisiert. Dabei habe ich die Konfiguration komplett neu eingegeben, da bei der Übernahme der Einstellungen der Router nicht mehr richtig funktioniert hat. Das Ergebnis hinsichtlich VPN ist jedoch das gleiche geblieben - es kommt zu keinem Verbindugnsaufbau.

Entsprechend dem bereits gegebenen Hinweis zum NAT Traversal habe ich sowohl die Variante, dass auf beiden Geräten NAT Traversal ausgeschaltet ist, als auch die Variante mit eingeschaltetem NAT Traversal probiert. Kein Unterschied.

Hat jemand einen Hinweis, woran es liegen könnte, dass die VPN-Verbindung nicht zustande kommt?

Hat jemand einen Hinweis, wie man an nähere Debug-Informationen kommt?

Vielen Dank für Eure Unterstützung!

Ich kann den Cisco RV042 (noch) zurückgeben. Wenn jemand einen Hinweis hat, wie ich sinnvoll eine LAN-zu-LAN-Kopplung zwischen einem DSL-Anschluss mit Ethernet-Port als Übergabepunkt und NAT Overload Konfiguration und einem entfernten Netzwerk hinter einer Fritz!Box7390 herstellen kann, bin ich auch für andere Hardware offen, die weniger Schwierigkeiten bereitet. Wie bereits erwähnt, unterstützt eine Fritz!Box keine NAT Overload Szenarien.

Okay, ich mußte mich erstmal schlau machen was NAT Overload ist. Scheinbar steht das für Port Adress Translation.
Ist dem so sehe ich keine Möglichkeit ein IPSEC Tunnel aufzubauen.
Dieser seltsame Router von A1 könnte aber an einer der zur verfügung stehenden LAN IP Adressen einen exposed Host zur verfügung stellen.
Finde dies mal beim A1 Support heraus. Wenn nein sieht das finster aus mit LAN-LAN Kopplung über IPSEC.
Alternativ bleibt nur noch die Fritzbox zu Freetzen mit OPENVPN oder L2TP zu verwenden. Der RV kann L2TP ob es ein L2TP Modul für freetz gibt weis ich nicht.

Hallo,

danke für die schnelle Antwort. Client-to-LAN bekomme ich über den A1 Router drüber, in beiden Richtungen, also zu anderen Netzwerken bzw. von anderen Netzwerken hinein in das LAN hinter dem A1 Router...

Den A1 Support werde ich natürlich gerne kontaktieren. Gibt es aber eine Möglichkeit, den Verkehr / die Vorgänge im Router zu protokollieren? Im Moment weiß ich nicht einmal, ob der Router versucht, einen Tunnel aufzubauen. Ich kann den Support des Netzbetreibers gezielter ansprechen, wenn ich sehen könnte, was überhaupt passiert...

Der RV42 kann über SNMP die Protokollierung an einen SNMP Server (oder war es Syslog Server?) senden. Da sollten alle Infos auflaufen.
Ein Programm zu Visualisierung könnte das hier sein. Ich arbeitete damals mit dem KIWI Syslog server.


IKE basiert auf UDP und nutzt standardmäßig den Port 500 als Quell- und Ziel-Port. Wird IKE und IPsec jedoch hinter einer Masquerading-Firewall betrieben, wird von den meisten IPsec-Implementierungen in diesem Fall UDP-Port 4500 verwendet. Um das Problem mit IPsec-Verbindungen hinter Masquerading-Firewalls zu lösen, wurden mehrere Vorschläge eingereicht. Keiner der Vorschläge wurde jedoch als Standard anerkannt, weshalb der Betrieb einer IPsec-Verbindung von einem Host über eine Firewall hinweg sehr unzuverlässig ist. Die beste Lösung ist eine Non-Masquerading-Firewall mit einer angeschlossenen DMZ. In der DMZ steht dann der Endpunkt der IPsec-Verbindung. Wobei hier DMZ für Exposed Host steht.

IKE arbeitet in zwei Phasen:

Aushandlung einer SA (Security Association) für ISAKMP entweder über den Main Mode (Hauptmodus, bevorzugt) oder den Aggressive Mode (Aggressiver Modus)
Erzeugung einer SA für IPsec im Quick Mode (Schnellmodus)

Wichtig ist also das der RV und die FB Port 500 oder 4500 erreichbar haben. Wird nun der Port durch PAT verbogen ist Essig mit der Authentifizierung. Also wenn möglich erstelle ein Portforwarding im A1 Router. Oder stelle die WAN IP-Adresse des RV in die DMZ (exposed Host) des A1 Routers

Hallo HyBird,

vielen Dank für Deine Hinweise zum NAT Overload und der damit verbundenen PAT. Habe mittlerweile den Internetanbieter gewechselt und nun einen Kabelanschluss. Nach dem Tausch des Modems und der Anpassung der Netzwerkeinstellungen im RV042G war noch meine alte, bislang nicht funktionstüchtige VPN-Konfiguration gespeichert. Auch wenige Minuten nach dem Umstecken des Routers auf das Kabelmodem des neuen Internetanbieters lief das VPN nicht. Als ich nach ein paar Stunden in die Routerkonfiguration blickte, war der Tunnel überraschenderweise aufgebaut.

Dabei hatte ich in der Fritzbox noch mit der IP-Adressierung gespielt gehabt. Ich hatte sowohl den Parameter "remoteip" mit der (damals aktuellen) öffentlichen IP-Adresse der RV042G versehen gehabt und gleichzeitig den Parameter remotehostname auf den DynDNS-Hostnamen der RV042G gesetzt. Das Array remoteid konfigurierte ich mit ipaddr der damals aktuellen öffentlichen IP-Adresse. Wie erwähnt, hatte ich den Internetanbieter gewechselt gehabt. Dadurch blieb zwar der DynDNS-Hostname gleich und wurde nun auf eine neue öffentliche IP-Adresse umgesetzt. Dadurch konnte die Fritzbox wohl den Router RV042G ansprechen, obwohl die konfigurierte remoteip den alten Wert hat (wird wohl niederprior ausgewertet in Relation zu remotehostname). Gibt es eine Erklärung, warum der Tunnel aufgebaut werden konnte, nachdem die remoteid mit der alten ipaddr konfiguriert war, den die RV042G nun aber gar nicht mehr hatte?

Als ich in der Fritzbox die remoteid auf FQDN umgestellt hatte und darin den Hostnamen der RV042G aus DynDNS eingetragen hatte, funktionierte der Tunnel nicht mehr! Selbstverständlich habe ich die Konfiguration gegengleich auch in der RV042G umgestellt (Local Group Setup auf "Dynamic IP + Domain Name (FQDN) Authentication") und dort genau den Hostnamen wie bei fqdn unter remoteid in der Fritzbox eingetragen.

Aus diesem Grund habe ich wieder auf ipaddr umgestellt, aber diesmal die aktuelle öffentliche IP-Adresse eingetragen. Nach einiger Zeit funktionierte der Tunnel wieder.

Wenn der Tunnel da ist, funktioniert er offenbar recht stabil. Wenn ich jedoch die RV042G an anderer Stelle umkonfiguriere (VPN-Einstellungen bleiben gleich) und dann neu starte, sind (zunächst) keine Tunnel da. Es dauert teilweise Stunden, bis irgendetwas passiert, und dann sind nicht alle drei Tunnel aufgebaut. Ich habe nach dem gleichen Schema IPSec VPN Tunnels zu anderen Fritzboxen aufgebaut (hängen am Netz der Deutschen Telekom bzw. Kabel Deutschland). Von den drei Tunneln sind dann in der Regel nur ein oder zwei geöffnet. Wenn ich hinter der RV042G Anfragen erzeuge (zB mittels PING), die das Aufbauen des Tunnels bewirken sollten, geschieht nichts. Manchmal ist der für mich passende Tunnel aufgebaut, manchmal nicht. Ich habe dabei das Konfigurationsschema von Dir verwendet und nur hinsichtlich nat_t = yes abgewandelt. Einen Tunnel (ins Netz von Kabel Deutschland) habe ich zusätzlich auch mit nat_t = no konfiguriert.

Hast Du einen Hinweis für dieses merkwürdige Verhalten?

funktioniert die DNS Namensauflösung aus beiden Netzen korrekt?
DYNDNS Anbieter richtig konfiguriert? dyndns ist mittlerweile kostenpflichtig, ich würde noip empfehlen.
Nutzt der Kabelprovider Provider NAT? Wenn ja ist schlecht.
Was sagen die Logfiles der FB und des RV? Mal bitte in codetags posten.
Keepalive settings aktiviert?
Always renew = yes ausprobiert?
mal andernen dn Server zb. 8.8.8.8 mal im RV eingetragen?

Ich habe eine Variante ausprobiert, in der ich auf RV042-Seite ein Häkchen bei "Keepalive" gesetzt habe und auf der Fritzbox-Seite "always_renew = yes". Oder korrespondiert das anders? Ich habe gesehen, dass in der Fritzbox noch folgenden Parameter gibt: keepalive_ip = 0.0.0.0. Diesen habe ich so belassen. Jedenfalls funktioniert der Zugriff nun zwischen jeweils einer der Fritzboxen 7390 im Netz der Deutschen Telekom und der RV042G. Das ist perfekt.

Im Moment kämpfe ich noch mit der Verbindung zwischen Fritzbox 6360 im Netz von Kabel Deutschland und der RV042G. Es sei erwähnt, dass die Fritzboxen alle untereinander (also zwischen Deutsche Telekom und Kabel Deutschland) korrekt kommunizieren, d.h. VPN funktioniert. Die Konfiguration habe ich übrigen gleich gemacht wie in den anderen Fritzboxen.

Im Ereignis-Log der Fritzbox 6360 finde ich folgenden Eintrag:

05.12.14 11:30:26 VPN-Fehler: XXXXX.dnsalias.com, IKE-Error 0x2026
IKE-Error 0x2026 "no proposal chosen"

Im System-Log der RV042G finde ich folgende Einträge:

Dec 5 11:50:09 2014 Kernel upnpd[401]: Failure obtaining ip address of interface eth1
Dec 5 11:50:14 2014 Kernel upnpd[401]: Failure obtaining ip address of interface eth1
Dec 5 11:50:19 2014 Kernel upnpd[401]: Failure in GateDeviceGetGenericortMappingEntry: Invalid Args
Dec 5 11:50:24 2014 Kernel upnpd[401]: Failure obtaining ip address of interface eth1
Dec 5 11:51:06 2014 VPN Log (g2gips1)[3] <Fritzbox6360PublicIP> #228: [Tunnel Established] ISAKMP SA established
Dec 5 11:51:36 2014 VPN Log (g2gips1)[3] <Fritzbox6360PublicIP>: [Tunnel Disconnected] instance with peer <Fritzbox6360PublicIP> {isakmp=#0/ipsec=#0}
Dec 5 11:51:41 2014 VPN Log (g2gips1)[4] <Fritzbox6360PublicIP> #232: [Tunnel Established] ISAKMP SA established
Dec 5 11:55:15 2014 Kernel upnpd[401]: Failure obtaining ip address of interface eth1
Dec 5 11:55:20 2014 Kernel upnpd[401]: Failure obtaining ip address of interface eth1
Dec 5 11:55:30 2014 Kernel upnpd[401]: Failure in GateDeviceGetGenericortMappingEntry: Invalid Args
Dec 5 11:55:35 2014 Kernel upnpd[401]: Failure obtaining ip address of interface eth1
Dec 5 11:59:49 2014 Kernel upnpd[401]: Failure obtaining ip address of interface eth1

Die Fehlermeldungen mit der "Failure obtaining ip address" kann ich mir nicht erklären. Die RV042G hängt an WAN1 am Cisco Kabelmodem im Netz von Kabelplus (Österreich). Das Kabelmodem vergibt dem WAN1 der RV042G eine IP-Adresse via DHCP (normalerweise), die pseudostatisch ist. Aktuell funktioniert das Netz jedenfalls. Was sagt Dir diese im Log gezeigte Failure?

Jedenfalls funktioniert der Tunnel nicht, wird auf beiden Seiten als nicht zustande gekommen angezeigt.

Darüber hinaus habe ich mich vergewissert, dass der Preshared Key auf beiden Seiten identisch ist und habe dort auch noch ein Sonderzeichen herausgelöscht, damit es nicht an Zeichensatzcodierungsunterschieden liegen kann, die über das Webinterface hineinkommen.

In der Fritzbox habe ich phase1ss = "all/all/all"; und phase2ss = "esp-des|3des-all/ah-all/comp-all/pfs";
In der RV042G habe ich Deine Konfig übernommen, also sowohl für Phase 1 und 2 die Parameter: DH Group 2 (1024 Bit) / 3DES / SHA1 / 3600 s.

Was genau kann einen IKE-Error 0x2026 "no proposal chosen" auslösen?

Jedenfalls habe ich genau die gleichen Einstellungen wie bei den anderen Fritzboxen verwendet. Die Fritzboxen unterscheiden sich allerdings im Typ (7390 ok versus 6360 mit IKE-Error) und einem leicht anderen Firmware-Stand (jedenfalls alle Version 6.0x).

Wenn ich direkt aus dem Netz hinter der RV042G die DynDNS-Adressen der Gegenstelle(n) anspreche, bekomme ich die jeweils aktuellen IP-Adressen zurückgeliefert. DHCP ist in der RV042G so konfiguriert, dass diese die DNS-Server nach innen durchreicht. Insofern würde ich kein DNS-Problem vermuten. Stimmt dieser Schluss?

Ich bin mir noch immer nicht sicher, ob die RV042G von sich aus die Verbindung aufbaut. Jedenfalls hatte ich alles zuvor bis auf keepalive/auto_renew gesetzt gehabt und wenn ich auf RV042G-Seite Traffic für den Tunnel erzeugt habe (Ping auf eine Adresse im entfernten Netz, das via VPN angebunden ist), passierte scheinbar nichts. Ist es jetzt so, dass wegen auto_renew auf Fritzbox-Seite immer die Fritzbox eine Verbindung eröffnet?

versuch mal phase2:

esp-all-all/ah-none/comp-all/pfs

Hat auf Anhieb funktioniert! Vielen Dank für den Tipp!!!

Super! Freut mich! Danke für die Rückmeldung.

Nun bremst der RV nur leider die Internetgeschwindigkeit auf ca. 25 MBit aus da der Prozessor des RV leider nicht schnell genug ist für Anschlüsse
über 25 MBit. Das nur zur Info falls sich das Gerät noch jemand anschaffen will, extra wegen dieser Anwendung.

Hallo,

leider ist in meiner aktuellen Konfiguration die RV042 nicht in der Lage, von sich aus eine VPN-Verbindung aufzubauen. Ich hatte das Szenario, dass ich die RV042 kurz vom Netz genommen habe. Die Fritzboxen auf der Gegenseite haben nicht gemerkt, dass die RV042 weg ist und haben in ihrer Oberfläche weiterhin die RV042 mit aktivem VPN-Tunnel angezeigt. Während ich auf Fritzbox-Seite den Aufbau des Tunnels erzwingen kann, wenn ich ein PING auf eine IP-Adresse der anderen Seite absetze, reagiert die RV042 auf so etwas nicht. Die eingerichteten Tunnel werden in der RV042 als "waiting for connection" angezeigt. Erst ein Neustart der Fritzboxen trotz angezeigtem, angeblich "aktiven" Tunnel zur RV042 brachte wieder alles ins Lot und führte zum neuen Aufbau der Tunnel.

Mit welchen Maßnahmen könnte ich die Tunnel überwachen lassen, sodass die jeweilige Fritzbox auf der einen Seite und die RV042 auf der anderen Seite von sich aus erkennen können, dass der Tunnel weggebrochen ist?

Bislang habe ich in der Fritzbox nur always_renew auf yes gesetzt. Inwieweit könnten die keep_alive Settings der Fritzbox helfen? Was müsste ich da eintragen?
Auf der RV042-Seite habe ich keep alive auf yes gesetzt, aber sonst keine der weiteren Optionen. So ist zB dead peer detection interval ausgeschaltet.

Eine Idee?

Viele Grüße und eine schöne Wehnachtszeit!
Peter

dead peer detection mal einschalten und probieren.
Ich habe diese Konfiguration schon seit 5 Jahern nicht mehr in Betrieb, da der RV für meine Zwecke zu lahm ist.
An deiner Stelle würde ich das Szenario nochmals nachstellen und die Logs auswerten.
Nur das gibt hinweise auf daß was schief läuft.