[HowTo] Fritzbox VPN mit private IP - HOWTO

[lagerschaden]

Nachdem hier immer wieder Probleme mit VPN (LAN-to-LAN-Kopplung) zwischen Fritzboxen mit 1 privaten IP auftauchen, habe ich mal 2 Muster-cfg's gemacht, die auf 7490 und 7530 getestet wurden (Firmware 7.12 bzw. 7.14). Im Kommentar ganz oben stehen die wichtigen Punkte, den Kommentar kann man problemlos löschen, wird von der FB nicht benötigt. Die Verschlüsselungen (phase1ss und phase2ss) sind bei mir von der Firma vorgegeben, da kann man auch die Standardwerte nehmen.

Der Master ist dabei der Rechner mit der öffentlichen IP, der Client der mit der privaten IP. Wurde bei mir für Homeoffice eingerichtet. Darüber läuft ggf. auch eine SIP-Nebenstelle der Telefonanlage in der Firma, man kann also auch von Kunden erreicht werden.

L.

 

[tmbtmb]

Hallo zusammen,

vielen Dank für die zwei cfg's, damit hat es bei mir auf Anhieb funktioniert! Kannst du noch kurz erklären was der Unterschied bei den beiden Verschlüsselungen im Vergleich zum Standartwert ist?

 

[lagerschaden]

Die aes256-Verschlüsselung ist sicherer, hat aber etwas weniger Durchsatz. War Vorgabe meiner Firma.

 

[eisbaerin]

vielen Dank für die zwei cfg's, damit hat es bei mir auf Anhieb funktioniert!

Da hast du aber viel Glück gehabt, denn dort sind einige Fehler drin.
Ich bezweifel stark, daß dies bei jeder FB und mit jeder FW klappt.

1.:

phase1ss = "alt/aes-3des/sha";

Diesen Namen gibt es nicht in der ipsec.cfg. Hast du dir den ausgedacht? Das funktioniert nicht!
Wenn damit doch eine Verbindung zu Stande kommt, dann könnte es seinen, daß der key unverschlüsselt ausgetauscht wird.
Ich rate euch beiden dringend das auf "all/all/all" umzustellen.
Auch da gibt es eine aes256-Verschlüsselung und sogar bei neuerer FW eine 512er.
Falls es bei lagerschaden nicht geht, dann nimm "alt/all/all".

2.

phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";

Wozu das? Auch die Standard Einstellung ("esp-all-all/ah-none/comp-all/pfs") bietet dort u.a. 256 und 512er Verschlüsselung.
@tmbtmb: Laß auch dort die Standard Einstellung! Die FBs wissen untereinander fast immer was für sie am besten ist.
@lagerschaden: Probiere mal ob du auch mit mit der Standard Einstellung eine Verbindung bekommst.
Nur falls nicht, würde ich das ändern.

3.

phase2remoteid {
ipnet {
ipaddr = 192.168.188.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.47.0 255.255.255.0";

Wieso sind das unterschiedliche IPs?

Schreibt mir bitte mal welche FB mit welcher FW ihr habt.
Was ist bei lagerschaden die betriebliche Gegenstelle?

Wie lautet bei euch der Eintrag in der Ereignisliste für den VPN Aufbau?
Sollte ungefähr so aussehen::

VPN-Verbindung zu abcd1234.myfritz.net [1.2.3.4] IKE SA: DH2/AES-256/SHA1 IPsec SA: ESP-AES-256/SHA1/LT-3600 wurde erfolgreich hergestellt.

 

[tmbtmb]

wird der key nur einmal bei verbindungsaufbau übertragen oder mehrmals? Ich frage da ich ja zur entfernten lte fritzbox erstmal hinfahren müsste um etwas zu ändern.
Punke 1 und 2 werde ich dann entsprechend änden.
3. Ich habe zweimal die gleiche IP verwendet.

Ich verwende eine 7490 mit 07.12 und eine 6820 LTE mit 07.13

Mein Eintrag:

VPN-Verbindung zu abcd1234.myfritz.net [1.2.3.4] IKE SA: DH2/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA1/LT-3600 wurde erfolgreich hergestellt.

 

[eisbaerin]

wird der key nur einmal bei verbindungsaufbau übertragen oder mehrmals?

Nur einmal.
Aber du hast Glück gehabt, die FB macht bei dir dann wohl eine NOT-Variante und hat bei dir sogar mit 512 verschlüsselt:

IKE SA: DH2/AES-256/SHA2-512 IPsec

Die NOT-Variante muß aber nicht bei jeder FB und jeder FW klappen.
Ich hätte eigentlich erwartet, daß kein key ausgetauscht wird und damit keine Verbindung zustande kommt.
D.h. wenn du eine andere FW benutzt könnte sich das VPN nicht mehr aufbauen.

eine 7490 mit 07.12 und eine 6820 LTE mit 07.13

Dann sollte auch die ständige Verschlüsselung mit 512 möglich sein.
z.Z ist sie aber durch die falsche Einstellung nur 256:

IPsec SA: ESP-AES-256/SHA1/LT-3600

Nach dem du 2. geändert hast, sollte dort auch SHA2-512 stehen.

BTW: die 3600 bedeutet, daß jede Stunde (3600s) der Schlüssel (nicht key) getauscht wird.
Es gibt auch Varianten, wo das nur aller 8 Stunden passiert.

Wozu benutzt du das VPN? Wie schnell sind deine Internetanbindungen?
A: mittlerer Datendurchsatz
B: absolut höchster Datendurchsatz bei 50Mbit/s

Bei A änderst du bei Gelegenheit 1. und 2. mal wieder zurück auf den Standard.
Damit bist du dann auch Sicher, daß es bei z.B. neuer FW auch noch geht.

Bei B kannst du es z.Z. auch noch so belassen, bis zum nächsten FW update.
Oder du machst gleich die aktuelle 7.19er LABOR auf die FB7490 und änderst 1. und 2.
Grund:
Zumindest deine FB7490 ist schon älter und nicht mehr die schnellste.
Der FB6820 traue ich aber auch keine all zu hohe Performance zu. Ist das eine v1 oder v2?

- Eine 512er Verschlüsselung bei den Daten verlangt mehr CPU Leistung, geht aber noch.

- Schlimmer: Bei der FW <7.19 wird noch eine Kompression eingeschaltet, die aber bei den heutigen schon komprimierten Dateien meist nichts mehr bringt, aber die CPU belastet.
Bei den neuen 7.19er LABOR FW (nicht die 1.) ist die Kompression jetzt ausgeschaltet worden.
Das sieht man aber nicht in den Ereignissen, da muß man schon z.B. in die Supportdatei schauen.

 

[tmbtmb]

Hallo,

meine Anbindungen sind:

6820 = 150/50 über LTE
7490 = 120/10 über Glasfasermodem

Die VPN Verbindung brauche ich um zwei Siemens LOGO! Steuerungen miteinander zu verbinden. Der Datenaustausch sollte eigentlich recht niedrig sein.

Also A
ich werde es bei nächster Gelegenheit ändern.

Die 6820 ist übrigens die v2

 

[eisbaerin]

7490 = 120/10 über Glasfasermodem

So wenig Upload? Welcher Anbieter ist das denn? Bei Telekom wären es 100/50.

Die 6820 ist übrigens die v2

Da würden uns ja mal Fotos vom Inneren (genaue Bezeichnung der Schaltkreise) interessieren.
Hast du da zufällig welche?

 

[tmbtmb]

Mein Anbieter ist PYUR. Es gibt im Moment auch keine Alternative da wir hier ein kommunales Glasfasernetz besitzen. Mein Vertrag ist schon älter aber günstig. Nächste Stufen sind 250/100 oder 500/250 oder auch 1000/1000.
Fotos von der 6820 habe ich keine gemacht, allerdings hatte ich die Box schon offen da ich sie auf externe Außenantenne umgebaut habe.

 

[eisbaerin]

Interessant! Ich wußte gar nicht, daß PŸUR Glasfaser Anschlüsse anbietet.
Ich mußte erst etwas suchen, aber 120/10 finde ich nicht, nur 120/60:

Glasfaser Kreis Plön: Tarife bis 1000 Mbit/s | PYUR

PŸUR Glasfaser Internet Tarife für den Kreis Plön bis 1000 Mbit/s inkl. Telefonanschluss. Jetzt Einzeltarif oder Paket wählen und Online bestellen.

www.pyur.com

oder

PŸUR Glasfaser-Internet Tarife in Lörrach bis 1.000 Mbit/s

Schnelles Internet bis 1.000 Mbit/s und Telefonanschluss von PŸUR in Lörrach ▶ Jetzt abschließen! ◀

www.pyur.com

 

[tmbtmb]

Ich habe einen gewerblichen Anschluss in einem kommunalen Netz, die sind nicht auf der Internetseite gelistet. Die Anbindung ist aber sehr gut, 1-2ms und fast immer volle Bandbreite.

 

[lagerschaden]

Inzwischen ist die Diskussion ja etwas abgedriftet, ursprünglich ging es mir um die Verbindung von einem Standort mit privater IP zu einem standort mit öffentlicher IP

Ich habe jetzt von unserer IP-Abteilung einen neuen Parameter für die VPN-Verbindung bekommen, damit ist Diffie-Hellmann Gruppe 15 möglich (Schlüsseltausch mit 3072 Bit):
phase1ss = "dh15/aes/sha";
phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
Die IT-Abteilung sagt, das seien neue Empfehlungen des BSI.

Damit meldet meine Fritzbox:
VPN-Verbindung zu ............... IKE SA: DH15/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA1/LT-3600 wurde erfolgreich hergestellt.
Damit dürfen die Befürchtungen, dass keine Verschlüsselung stattfindet, beendet sein. Firmware war übrigens 7.12 und 7.14

 

[eisbaerin]

Sorry, ich habe deinen Beitrag erst jetzt mitbekommen.

einen gewerblichen Anschluss

Um so mehr wundert es mich, daß ihr da von PŸUR mit 120/10 abgespeist werdet, wenn man privat 120/60 bekommt.

die Diskussion ja etwas abgedriftet,

Jo, wir haben uns halt noch ein wenig über dies und das unterhalten.
Aber schön, daß du dich auch noch hier meldest.

phase1ss = "dh15/aes/sha";

Ja, den Namen gibt es in der ipsec.cfg Sehr gut!

Damit dürfen die Befürchtungen, dass keine Verschlüsselung stattfindet, beendet sein.

Ja, beim IKE mach ihr jetzt SHA2-512 Sehr gut!
Aber bei den ständigen Daten (IPsec) nur 256.
Das läßt sich aber auch auf 512 erhöhen.
Zwei FB untereinander machen das jetzt standardmäßig mit 512.

Firmware war übrigens 7.12 und 7.14

Bei welcher FB?

Ich bitte dich aber ganz ganz dringend in den 2 Dateien in #1 die
phase1ss und phase2ss auf Standard zu setzen, damit nicht eventuelle Unsicherheiten entstehen.

DANKE!

 

[PeterPawn]

Na ja ... das mit dem "Abdriften" kann man durchaus unterschiedlich sehen, denn "Diskutieren" sollte man den Inhalt der Dateien in #1 schon noch einmal gründlich.

Was mich irritiert ... die Frage von @eisbaerin in #4 (Punkt 3) wurde ja ignoriert - und das, obwohl sie an dieser Stelle "essentiell" ist, denn ich wage es auch einfach mal zu bezweifeln, daß die gezeigten Konfigurationen in #1 (die ich unten noch einmal in CODE-Blöcken in vollem Umfang "zitiere", damit die hoffentlich erfolgenden Korrekturen an den Dateien in #1 den Zusammenhang nicht "zerreißen") in der Praxis tatsächlich so funktionieren würden, wie sie dort gezeigt werden.

Master:

/*
* myfritz   Homeoffice MASTER   (client hat *** private IP ***)

Einstellungen allgemeines:

   Die remoteid des Masters und die localid des Clients muessen identisch sein,
   eine myfritz-Adresse ist hier nicht notwendig, aber moeglich.

   Die remoteid des Clients und die localid des Masters ist typischerweise
   die myfritz-Adresse des Masters.

   Der key des Masters und des Clients muessen identisch sein,

Einstellungen Master:

   benoetigt myfritz-Konto
   benoetigt oeffentliche IP ueber myfritz-Konto
   always_renew = no;
   keepalive_ip = "";      oder Zeile loeschen
   remotehostname = "";    oder Zeile loeschen
   mode = phase1_mode_aggressive;

Einstellungen Client:

   benoetigt kein myfritz-Konto
   benoetigt keine oeffentliche IP
   always_renew = yes;
   keepalive_ip = .....         IP aus dem Bereich des Masters
   remotehostname = ".....";    oeffentliche myfritz-Adresse des Masters
   mode = phase1_mode_aggressive;

*/

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "myfritz_homeoffice_master_01";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "";
                localid {
                        fqdn = "abcd1234.myfritz.net";
                }
                remoteid {
                        fqdn = "abcdxyz9876";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "alt/aes-3des/sha";
                keytype = connkeytype_pre_shared;
                key = "geheimerkey1234567890";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.188.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
                accesslist = "permit ip any 192.168.47.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Client:

/*
* myfritz   CLIENT mit *** privater IP***

Einstellungen allgemeines:

   Die remoteid des Masters und die localid des Clients muessen identisch sein,
   eine myfritz-Adresse ist hier nicht notwendig, aber moeglich.

   Die remoteid des Clients und die localid des Masters ist typischerweise
   die myfritz-Adresse des Masters.

   Der key des Masters und des Clients muessen identisch sein,

Einstellungen Master:

   benoetigt myfritz-Konto
   benoetigt oeffentliche IP ueber myfritz-Konto
   always_renew = no;
   keepalive_ip = "";      oder Zeile loeschen
   remotehostname = "";    oder Zeile loeschen
   mode = phase1_mode_aggressive;

Einstellungen Client:

   benoetigt kein myfritz-Konto
   benoetigt keine oeffentliche IP
   always_renew = yes;
   keepalive_ip = .....         IP aus dem Bereich des Masters
   remotehostname = ".....";    oeffentliche myfritz-Adresse des Masters
   mode = phase1_mode_aggressive;

*/

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "myfritz_homeoffice_client_01";
                always_renew = yes;
                keepalive_ip = 192.168.0.1;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "abcd1234.myfritz.net";
                localid {
                        fqdn = "abcdxyz9876";
                }
                remoteid {
                        fqdn = "abcd1234.myfritz.net";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "alt/aes-3des/sha";
                keytype = connkeytype_pre_shared;
                key = "geheimerkey1234567890";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.47.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Die rot markierte Angabe in der Konfiguration des "Masters" paßt eben nicht zu den Angaben in der Konfiguration des "Clients".

In einem "HowTo" hätte man vermutlich auch noch erläutern müssen, was es mit diesen Angaben bei "ipnet" in "phase2localid" und "phase2remoteid", sowie in der "accesslist" am Ende auf sich hat und daß diese einen auch mal "kreuzweise" können sollten (wobei eben "accesslist" zum Peer passen muß und nicht zu den lokalen Adressen), damit das überhaupt funktioniert.

Denn gerade das sind ja auch die Stellen in den VPN-Konfigurationen, die bei den "Nachnutzern" dann abweichen werden, wenn diese eigene Subnetze bei sich im LAN verwenden.

Bis zum "HowTo" (zumindest bis zum Erfüllen dieses - selbst auferlegten - Anspruchs) wären da m.E. noch einige Schritte zu gehen - so wie es jetzt ist, ist es nur eine weitere Nacherzählung von Informationen, die hier in vielen anderen Threads auch zu finden wären ... und obendrein auch noch eine, die - nach allen ansonsten bekannten Erfahrungen in diesem Board - falsch wäre wg. des Fehlers in der "Master"-Konfiguration.

Wenn das tatsächlich mit diesen Angaben für P2 funktionieren sollte (ich habe es mit 7490 + 7580, jeweils mit 07.12, gerade noch einmal geprüft und kam über P1 nicht hinweg bei solchen Unstimmigkeiten), wäre ich halt überrascht ... aber hinsichtlich der fehlenden Informationen, was es mit den anderen Angaben auf sich hat, reißt das in meinen Augen den Anspruch eines "HowTo" auch noch dann, wenn das - wie gesagt, entgegen aller bisherigen Erfahrungen - tatsächlich funnktionieren sollte.