FritzBox VPN Keepalive und SHA2

roadruner2k

Neuer User
Mitglied seit
21 Jan 2007
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich betreibe 12 FritzBoxen (Typ: 7590, 7490, 4020) die sich per VPN auf eine Cisco ASA Verbinden und darüber ein gemeinsames Netzwerk herstellen.
Wenn es aber zu Verbindungsabbrüchen kommt dauert es oft über 30Min bis die FB merkt das der VPN Tunnel tot ist und ihn erneut aufbaut.
Die Zeit möchte ich gerne senken. Dazu kann ich aber nichts finden! Jemand eine Idee?

2te Frage (weniger wichtig): Die FB soll auch SHA2-512 (Sowohl in IKE-Phase 1 als auch 2). Leider bekomme ich das nicht hin! Hat das schon jemand funktionsfähig geschafft?
Wie wäre dafür die Parameter? (phase1ss & phase2ss)

Gruß
Sebastian
 

eisbaerin

IPPF-Urgestein
Mitglied seit
29 Sep 2009
Beiträge
10,803
Punkte für Reaktionen
915
Punkte
113
Poste mal deine vpn.cfg und die ike.log + ike.old.
Warum bricht die Verbindung ab?

Zu 2.:
Ja, läuft bei mir zwischen 2 FB (7362SL und 7580). Mit älteren FB geht das nicht (7170 bis 7390, 7272).
Parameter sind default.
Welche Parameter nutzt du?
Du kannst auch in der ipsec.cfg nachschauen, ob es für deine Parameter vorhanden ist.
 
Zuletzt bearbeitet:

roadruner2k

Neuer User
Mitglied seit
21 Jan 2007
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Hallo Eisbär!
Also ich nutze aktuell in den FB phase1ss = "LT8h/all/all/all"; sowie phase2ss = "esp-all-all/ah-none/comp-all/pfs";
Jedoch muss ich grade festellen das die Cisco ASA nur SHA im IKEv1 beherscht! Es geht als garnicht mehr in meinem Setup!! Da muss ich wohl mit Cisco noch mal ein ernstes Wort reden. LOL :rolleyes:

Bleibt noch das Problem, das der Tunnel nach Abbruch erst 30-40 Min braucht, bis die FB erkennt das der Tunnel neu aufgebaut werden muss.

Gruß
Sebastian
 

eisbaerin

IPPF-Urgestein
Mitglied seit
29 Sep 2009
Beiträge
10,803
Punkte für Reaktionen
915
Punkte
113
Ich hatte in #2 noch ergänzt.

Ja, deine Parameter unterstützen SHA2.
Warum wurde phase1ss geändert? Default steht da all/all/all.

phase2ss steht bei dir auf default.
 
Zuletzt bearbeitet:

Whoopie

Aktives Mitglied
Mitglied seit
19 Okt 2004
Beiträge
863
Punkte für Reaktionen
9
Punkte
18
Hast du Keepalive aktiviert, mit "keepalive_ip = 192.168.178.1;" in der vpn.cfg? IP-Adresse ist die der Gegenseite.

Wenn du deine vpn.cfg hier postest, müssen wir nicht so viel raten. ;-)
 

roadruner2k

Neuer User
Mitglied seit
21 Jan 2007
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Eine keepalive_ip habe ich konfiguriert. Eine IP die auch nur durch den Tunnel erreichbar ist.
In meiner Konfig ist so einiges nicht Standard. Wenn ich die hier posten würde gäb es da so einiges zu diskutieren was aber nicht ziehlführend ist.

Wie komme ich am einfachsten an die ike.log + ike.old?

vpncfg {
vpncfg_version = 1;
connections {
enabled = yes;
editable = no;
conn_type = conntype_lan;
name = "MY-NAME-Location-01";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = no;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = My-Public-VPN-GW-IP;
remote_virtualip = 0.0.0.0;
keepalive_ip = Private-IP;
localid {
XXXXXXX;
}
remoteid {
ipaddr = "My-Public-VPN-GW-IP";
}
mode = phase1_mode_aggressive;
phase1ss = "LT8h/all/all/all";
keytype = connkeytype_pre_shared;
key = "Secred-Key";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = local-IP-Network;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = My-ACL;
app_id = 0;
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
 
Zuletzt bearbeitet:

eisbaerin

IPPF-Urgestein
Mitglied seit
29 Sep 2009
Beiträge
10,803
Punkte für Reaktionen
915
Punkte
113
In der Support-Datei.
 

roadruner2k

Neuer User
Mitglied seit
21 Jan 2007
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Hier das was ich im Support gefunden habe:
 

Anhänge

  • VPN-LOG.txt
    26.4 KB · Aufrufe: 9

Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via