[Gelöst] 7170 -> VPN - durch 6360 -> Vigor 2820 IPPBX

[greenhornXXL]

Hallo zusammen

Ich habe hier folgenden Aufbau.

Internet über Cable mit einer Fritz.box 6360. Diese hat als Exposed Host den WAN2 Port eine Vigor 2820 IPPBX Routers eingetragen.
Der Vigor macht alles im Netzwerk die 6360 dient nur als Modem/Umsetzer.

Ich möchte nun mit dem Vigor einen IPsec Tunnel zu einer 7170 herstellen.
Durch die 6360 .... Und da scheitere ich.

Bisher habe ich den Tunnel von 6360 zu 7170 aufbauen können.

Ich möchte aber den Tunnel vom Vigor aufbauen (regestrierung von VoiP und nur einen Pkt. zur Administration)
Leider kommt eine Verbindung nicht zu stande ....

Wie kann ich das ganze eingrenzen um den Fehler zu finden?

ich habe die Anleitung fritzbox zu vigor von AVM schon gelesen.
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interoperabilitaet/15330.php?portal=VPN

Aber irgendwo ist da noch der Wurm dirnne und ich finde es nicht.

Vielleicht kann mir jemand eine kleine Hilfestellung oder Tip geben.

Danke im voraus
greenhornXXL

 

[andilao]

Anleitung gelesen ist gut! ;-) Natürlich vermute ich, dass Du auch versucht hast, sie Punkt für Punkt zu befolgen.

Am wichtigsten ist dieser Teil:

Beispielwerte in dieser Anleitung
Ersetzen Sie bei der VPN-Konfiguration die hier genannten Beispielwerte durch die in Ihrer Konfiguration tatsächlich verwendeten Werte.
* IP-Netzwerk der FRITZ!Box: 192.168.100.0 (Subnetzmaske: 24 - 255.255.255.0)
* Dynamic DNS-Name der FRITZ!Box: avmvpn.dyndns.org
* IP-Netzwerk des Draytek-Routers: 192.168.150.0 (Subnetzmaske: 24 - 255.255.255.0)
* Dynamic DNS-Name des Draytek-Routers: draytektest.dd-dns.de
* Pre-Shared Key: VPN-Kennwort

und phase2ss = "esp-all-all/ah-all/comp-all/pfs"; statt "esp-all-all/ah-none/comp-all/pfs";

*
* C:\Dokumente und Einstellungen\<user>\Anwendungsdaten\AVM\FRITZ!Fernzugang\avmvpn_dyndns_org\fritzbox.cfg
* Fri Nov 07 12:43:48 2008
*/
pncfg {
       connections {
               enabled = yes;
               conn_type = conntype_lan;
               name =[COLOR="red"] "draytektest.dd-dns.de";[/COLOR]
               always_renew = no;
               reject_not_encrypted = no;
               dont_filter_netbios = yes;
               localip = 0.0.0.0;
               local_virtualip = 0.0.0.0;
               remoteip = 0.0.0.0;
               remote_virtualip = 0.0.0.0;
               remotehostname = [COLOR="red"]"draytektest.dd-dns.de";[/COLOR]
               localid {
                       fqdn =[COLOR="red"] "avmvpn.dyndns.org";[/COLOR]
               }
               remoteid {
                       fqdn = [COLOR="red"]"draytektest.dd-dns.de"[/COLOR];
               }
               mode = phase1_mode_aggressive;
               phase1ss = "all/all/all";
               keytype = connkeytype_pre_shared;
               key =[COLOR="blue"] [B]"VPN-Kennwort";[/B][/COLOR]
          cert_do_server_auth = no;
               use_nat_t = no;
               use_xauth = no;
               use_cfgmode = no;
               phase2localid {
                       ipnet {
                               ipaddr = [COLOR="red"]192.168.100.0[/COLOR];
                               mask = 255.255.255.0;
                       }
               }
               phase2ss = "esp-all-all/ah-[COLOR="blue"][B]all[/B][/COLOR]/comp-all/pfs";
               accesslist = "permit ip any [COLOR="red"]192.168.150.0[/COLOR] 255.255.255.0";
       }
       ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                           "udp 0.0.0.0:4500 0.0.0.0:4500";
/ EOF

Diese Werte schreibt natürlich schon Dein Programm "FRITZ!Box-Fernzugang einrichten" nur das "all" und den Klartext-Key (darf nicht mit $$$$ beginnen) must Du dort manuell editieren. Und dann das Ganze in den Draytek bringen. Wenn Du das alles berücksichtigt hast, beschreibe doch mal bitte dein Problem mit mehr als "geht nicht".

Was soll denn über den Tunnel laufen und wie weit kommt denn die Verbindung (nicht aufgebaut, wird hergestellt, hergestellt) oder geht nur die Anwendung nicht, die über den Tunnel laufen soll.

 

[greenhornXXL]

Hallo andilao

Die VPN Verbindung kommt nicht zustande.
In der Oberfläche der 7170 wird der richtige Dyndns Name angezeigt mit der gültigen IP Adresse - allerdings kann ide VPN Verbindung nicht aufgebaut werden.
Einige Minuten steht dort " wird aufgebaut " .... später kommt dann " nicht aufgebaut".

Kann ich irgendwo / irgendwie ein Log File einsehe - wahrscheinlich stimmt etwas mit der Verschlüsselung bzw. dem PSK nicht.

Hab gerade den PSK mal neu gesetzt - allerdings keine Veränderung.

 

[andilao]

"Wird aufgebaut" heißt schon eher, dass der PSK funktioniert aber netzwerkmäßig irgendwas nicht passt. Log-Einträge für nicht komplett aufgebaute VPN-Verbindungen habe ich in der Fritzbox noch nicht gesehen. Hier ist eine Übersicht der Fehlermeldungen http://www.nwlab.net/tutorials/VPN-FritzBox/.

Prüfe nochmal alle IP-Adressen bzw. -Adress-Bereiche.

Wie erfolgt bzw. wie soll denn der erste Zugriff erfolgen, pingst Du irgendein Gerät oder soll sich ein VoIP-Tel. der 7170 beim Draytek registrieren?

 

[greenhornXXL]

Im Netz der 7170 befindet sich auch ein Linksys Router von diesem ich einen Ping Schicke auf die interne IP des Vigor Routers.

Die Konfig sieht wie folgt aus:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "remotehost.shacknet.nu";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "remotehost.shacknet.nu";
                localid {
                        fqdn = "localhost.ath.cx";
                }
                remoteid {
                        fqdn = "remotehost.shacknet.nu";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "12345";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.177.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
              phase2ss = "esp-all-all/ah-all/comp-all/pfs";
                accesslist = "permit ip any 192.168.2.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

remotehost und localhost habe ich als Beispiel so genannt.

Im Draytek hab ich unter Advanced IPsec folgendes ausgewählt:
Anhang anzeigen 56170

Hier ist als Remote Network IP 192.168.177.0 gesetzt.
Damit sollte doch im Grunde alles richtig sein ...

 

[andilao]

Sieht gut aus soweit für die AVM-Seite.

Jetzt sollte man mal die Draytek-Logs sehen.
Kannst Du irgendwo NAT-Traversal im Draytek zum Test aktivieren?
Kommst Du mit einem VPN-Clienten auf den Draytek?

Wieso fehlt nur im Beispiel der Abschnitt phase2remoteid?

 

[greenhornXXL]

Hallo andilao

So nun steht der Tunnel.

Ein NAT - Traversal kann man im Draytek nicht expliziet aktivieren, der Router unterstützt dies anscheinend automatisch lt. Doku.
Ich habe den phase2remoteid entfernt und damit kommt die Verbindung zustande !

Der Ping fkt. von beiden Seiten sowohl auf die Router als auch auf die dahinterliegenden Clients.

Vielen Dank für die Hinweise von deiner Seite !!!