FritzBox VPN Keepalive und SHA2

roadruner2k

Neuer User
Mitglied seit
21 Jan 2007
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich betreibe 12 FritzBoxen (Typ: 7590, 7490, 4020) die sich per VPN auf eine Cisco ASA Verbinden und darüber ein gemeinsames Netzwerk herstellen.
Wenn es aber zu Verbindungsabbrüchen kommt dauert es oft über 30Min bis die FB merkt das der VPN Tunnel tot ist und ihn erneut aufbaut.
Die Zeit möchte ich gerne senken. Dazu kann ich aber nichts finden! Jemand eine Idee?

2te Frage (weniger wichtig): Die FB soll auch SHA2-512 (Sowohl in IKE-Phase 1 als auch 2). Leider bekomme ich das nicht hin! Hat das schon jemand funktionsfähig geschafft?
Wie wäre dafür die Parameter? (phase1ss & phase2ss)

Gruß
Sebastian
 

eisbaerin

IPPF-Promi
Mitglied seit
29 Sep 2009
Beiträge
7,771
Punkte für Reaktionen
339
Punkte
83
Poste mal deine vpn.cfg und die ike.log + ike.old.
Warum bricht die Verbindung ab?

Zu 2.:
Ja, läuft bei mir zwischen 2 FB (7362SL und 7580). Mit älteren FB geht das nicht (7170 bis 7390, 7272).
Parameter sind default.
Welche Parameter nutzt du?
Du kannst auch in der ipsec.cfg nachschauen, ob es für deine Parameter vorhanden ist.
 
Zuletzt bearbeitet:

roadruner2k

Neuer User
Mitglied seit
21 Jan 2007
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Hallo Eisbär!
Also ich nutze aktuell in den FB phase1ss = "LT8h/all/all/all"; sowie phase2ss = "esp-all-all/ah-none/comp-all/pfs";
Jedoch muss ich grade festellen das die Cisco ASA nur SHA im IKEv1 beherscht! Es geht als garnicht mehr in meinem Setup!! Da muss ich wohl mit Cisco noch mal ein ernstes Wort reden. LOL :rolleyes:

Bleibt noch das Problem, das der Tunnel nach Abbruch erst 30-40 Min braucht, bis die FB erkennt das der Tunnel neu aufgebaut werden muss.

Gruß
Sebastian
 

eisbaerin

IPPF-Promi
Mitglied seit
29 Sep 2009
Beiträge
7,771
Punkte für Reaktionen
339
Punkte
83
Ich hatte in #2 noch ergänzt.

Ja, deine Parameter unterstützen SHA2.
Warum wurde phase1ss geändert? Default steht da all/all/all.

phase2ss steht bei dir auf default.
 
Zuletzt bearbeitet:

Whoopie

Aktives Mitglied
Mitglied seit
19 Okt 2004
Beiträge
851
Punkte für Reaktionen
7
Punkte
18
Hast du Keepalive aktiviert, mit "keepalive_ip = 192.168.178.1;" in der vpn.cfg? IP-Adresse ist die der Gegenseite.

Wenn du deine vpn.cfg hier postest, müssen wir nicht so viel raten. ;-)
 

roadruner2k

Neuer User
Mitglied seit
21 Jan 2007
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Eine keepalive_ip habe ich konfiguriert. Eine IP die auch nur durch den Tunnel erreichbar ist.
In meiner Konfig ist so einiges nicht Standard. Wenn ich die hier posten würde gäb es da so einiges zu diskutieren was aber nicht ziehlführend ist.

Wie komme ich am einfachsten an die ike.log + ike.old?

vpncfg {
vpncfg_version = 1;
connections {
enabled = yes;
editable = no;
conn_type = conntype_lan;
name = "MY-NAME-Location-01";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = no;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = My-Public-VPN-GW-IP;
remote_virtualip = 0.0.0.0;
keepalive_ip = Private-IP;
localid {
XXXXXXX;
}
remoteid {
ipaddr = "My-Public-VPN-GW-IP";
}
mode = phase1_mode_aggressive;
phase1ss = "LT8h/all/all/all";
keytype = connkeytype_pre_shared;
key = "Secred-Key";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = local-IP-Network;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = My-ACL;
app_id = 0;
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
 
Zuletzt bearbeitet:

eisbaerin

IPPF-Promi
Mitglied seit
29 Sep 2009
Beiträge
7,771
Punkte für Reaktionen
339
Punkte
83
In der Support-Datei.