[Gelöst! (aktualisiert 101002)] FB7390 IPSec-VPN mit Astaro SG v7.506

[PCMor]

Hallo Forum,

ich suche jetzt schon seit einigen Tagen nach Hinweisen im Netz, welche Kunstgriffe man innerhalb der FB7390-VPN-Config evt. noch vornehmen könnte, um mein Problem zu lösen - aber da ich bislang nicht fündig geworden bin, poste ich jetzt einfach mal mein Leiden...

Um mir einen möglichst komfortablen Home-Office-Arbeitsplatz einrichten zu können, habe ich zwischen der 7390 und der Astaro in der Firma ein Site-to-Site IPSec-VPN aufgebaut (AES-256-SHA1). Läuft erstmal toffte und erstaunlich performant (bis auf die Kleinigkeit, dass der IKE-Service in der Fritzbox irgendwie nicht mit DPD klarkommt und den Tunnel bei ausbleibendem Traffic im 2-Minuten-Takt trennt und wieder aufbaut, aber das konnte ich anderweitig "heilen"), der Tunnel steht und ich kann mit meiner aktuellen Config von jedem Heim-PC aus auf jedes System zugreifen, das direkt im Netz der Astaro liegt (bspw. 192.168.1.0/24 <-> 192.168.200.0/24).

Nun ist es aber so, dass hinter der Astaro weitere Filialen über ein separates Provider-VPN angebunden sind, alle für sich von der Astaro aus erreichbar, sämtliche Routen sind vorhanden.

Das Problem: ich kann keines der anderen Netze, welche die Astaro aber routen kann, über den IPSec-Tunnel erreichen.

Bisher nutzte ich für den Remote-Access OpenVPN oder L2TP-over-IPSec, für welche die Astaro die entsprechenden Serverdienste mitbringt.
Bei denen hat es gereicht, eine SNAT-Regel für die IP-Netze zu bauen, die ich über die VPN-Client-Verbindungen erreichen wollte.

Bei dem IPSec-Tunnel funzt das aber offenbar nicht: es scheint, als würde die 7390 (hat auch statische Routen zu den entfernten Netzen hinter der Astaro mit der LAN-IP der Astaro als Gateway, hilft aber auch nicht) alle Pakete an Adressen, die in der Accesslist nicht an erster Stelle stehen, stumpf verwerfen:

accesslist = 
                           "permit ip any 192.168.1.0 255.255.255.0",
                           "permit ip any 10.10.0.0 255.255.0.0";

Mache ich's so, wie's oben steht, erreiche ich das Netz 192.168.1.0/24, welches ich jetzt mal als das interne Netz der Astaro bezeichne.
Tausche ich die beiden permit-Zeilen und ändere die Astaro-Config entsprechend um, erreiche ich über den Tunnel das Netz 10.10.0.0/16 - welches über das Provider-VPN mit dem Astaro-Netz verbunden ist.

Ich bekomme aktuell also genau eine SA (Security Association) zwischen der 7390 und der Astaro hin.

Kennt jemand einen Weg, wie man Fritz konfigurieren muss, um mehr als eine SA zu connecten??

Besten Dank schonmal für alle wie auch immer gearteten Antworten!

[EDIT] 09.08.2010: Abschließend noch zwei PDF-Dateien: die eine zeigt die Konfiguration der Astaro mit den wichtigsten Screenshots, die andere die dazu passende vpn.cfg meiner Fritzbox (eine SA zwischen Hauptnetz Astaro und Fritzbox). Vielleicht kann's ja mal jemand brauchen. [/EDIT]

 

[PCMor]

Hm, es wird gelesen, aber es kommen keine Tipps...

Ich poste jetzt mal meine Fritz-VPN-Config, mit der wie gesagt der IPSec-Tunnel aufgebaut wird, vielleicht hilft das was:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "s2s ASG";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = feste.ip.asg.firma;
                remote_virtualip = 0.0.0.0;
                localid {
                        ipaddr = 169.254.1.1; 
                        [COLOR="SeaGreen"]/*locallink-IP als VPN-ID, da 7390 via DynDNS angebunden*/[/COLOR]
                }
                remoteid {
		 ipaddr = feste.ip.asg.firma;
                }
                mode = phase1_mode_idp;
                phase1ss = "alt/all/all"; 
                [COLOR="#2e8b57"]/*Phase1 Astaro: AES256, SHA1, Lifetime 3600, DH-Group2*/[/COLOR]
                keytype = connkeytype_pre_shared;
                key = "50-Zeichen-Kauderwelsch";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }				
                phase2ss = "esp-all-all/ah-all/comp-all/pfs"; 
                [COLOR="SeaGreen"] /*Phase2 Astaro: AES256, SHA1, Lifetime 3600, DH-Group2*/[/COLOR]
                accesslist = 
			"permit ip any 192.168.1.0 255.255.255.0",
			"permit ip any 10.10.0.0 255.255.0.0",
			"permit ip any 172.16.1.0 255.255.255.0",
			"permit ip any 192.168.11.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

In der Astaro-Config kann man dann weitere Netzwerke, welche sie selbst erreichen kann, als lokale Netzwerke in den Tunnel hineinreichen (Security Associations, SA), wofür dann dieselbe Policy und derselbe PSK genutzt wird - was zwischen zwei Astaros auch problemlos funzt.

Nur dem Fritz fehlt da irgendwas... :gruebel:

Keine Ideen?

 

[MaxMuster]

Ich bin da sicher nicht der größte Experte für diese spezielle Frage, aber allgemein bei IPsec müss(t)en die Configs meiner Meinung auf beiden Seiten ja schon "symmetrisch" sein, wenn du also auf der FB einträgst, dass "lokal" 192.168.178.0/24 und "remote" (bei der Astaro) 192.168.1.0/24 und 10.10.0.0/16 sind, dann muss bei der Astaro stehen, dass "lokal" 192.168.1.0/24 und 10.10.0.0/16 und bei der FBF 192.168.178.0/24 ist, oder??

Tausche ich die beiden permit-Zeilen und ändere die Astaro-Config entsprechend um ...

Was meinst du denn mit der Änderung auf der Astaro? Was ist denn dort konfiguriert?

Jörg

 

[PCMor]

Yepp, so ist es auch konfiguriert.
Nur sieht das Astaro-GUI diese Config auch explizit vor, so dass man da als 'local networks' prinzipiell alles reinziehen kann, was die Astaro erreichen kann, das Routing aus und in den Tunnel übernimmt dann sie.
Auf Seiten der Fritzbox komme ich aber nicht weiter: mehr als eine SA kommt nicht zustande... :noidea:

 

[MaxMuster]

Wenn du es so hast... Mir ist nur nicht klar, was du dann auf der Astaro noch änderst, wenn du in der FB die Reihenfolge drehst...

Kann es vielleicht an der (eigentlich wohl unnötigen) Route für das zweite Netz liegen, die du eingetragen hast? Damit das IPsec funktioniert, muss das Netz über das DG (also die Internetverbindung) geschickt werden, nur dann wird es im IPsec verarbeitet.

Jörg

 

[PCMor]

Also:
auf der Astaro kann ich wie gesagt zur Not alle dort bekannten Netzwerke in den Tunnel ziehen (ist tatsächlich über's GUI per Drag'n'Drop gelöst).
Jede einzelne Netzwerk-Verbindung macht dann eine SA aus:
Fritz <-> Netz Astaro
Fritz <-> Netz 1 hinter Astaro
Fritz <-> Netz 2 hinter Astaro
Fritz <-> Netz 3 hinter Astaro
usw. ...
Bei der Fritz-Config wird aber immer nur die eine SA aufgebaut, die in der accesslist an erster Stelle steht; auch, wenn ich den kompletten bereits geposteten vpn-Abschnitt als zusätzliche Verbindung mit anderem Namen und anderem Netzwerk in der Fritz einfüge, so schluckt sie das zwar, baut den zusätzlichen Tunnel aber nicht auf. In der Astaro sind dann bspw. 5 SAs definiert, von denen aber nur eine hochkommt.

 

[MaxMuster]

... ich wollte ja nach deinem Beitrag, den ich oben zitiert hatte, nur wissen, was du denn auf der Astaro noch geändert hattest (Reihenfolge, ...), weil du diese Konfig ja eben eigentlich nicht anfassen müsstest...

Jörg

 

[PCMor]

Hey, ein (Teil)-Erfolg: mit der folgenden Beispiel-Config habe ich aktuell von der 7390 drei SAs auf die Firmen-Astaro laufen:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "[COLOR="#008000"]Eigenes Netz der Astaro[/COLOR]";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = feste.ip.asg.firma;
                remote_virtualip = 0.0.0.0;
                localid {
                        ipaddr = 169.254.1.1; 
		[COLOR="#008000"]/*locallink-IP als VPN-ID, da 7390 via DynDNS angebunden*/[/COLOR]
                }
                remoteid {
		ipaddr = feste.ip.asg.firma;
                }
                mode = phase1_mode_idp;
                phase1ss = "alt/all/all";
                keytype = connkeytype_pre_shared;
                key = "[COLOR="DarkRed"]50-Zeichen-Kauderwelsch[/COLOR]";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }				
                phase2ss = "esp-all-all/ah-all/comp-all/pfs";
                accesslist = "permit ip any 192.168.1.0 255.255.255.0";
			[COLOR="#008000"]/*lokales Netzwerk der Astaro*/[/COLOR]
        }{
                enabled = yes;
                conn_type = conntype_lan;
                name = "[COLOR="#008000"]1. über die Astaro erreichbares Netz[/COLOR]";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = feste.ip.asg.firma;
                remote_virtualip = [COLOR="#ff0000"]192.168.1.1[/COLOR];
			[COLOR="Green"]/*lokale IP der Astaro*/[/COLOR]
                localid {
                        ipaddr = 169.254.1.1; 
                }
                remoteid {
		ipaddr = feste.ip.asg.firma;
                }
                mode = phase1_mode_idp;
                phase1ss = "alt/all/all";
                keytype = connkeytype_pre_shared;
                key = "[COLOR="#8b0000"]die gleichen 50-Zeichen-Kauderwelsch wie oben!!![/COLOR]";
                cert_do_server_auth = no;
	    [COLOR="Green"]/*diese SA wird nun geNATtet*/[/COLOR]
                use_nat_t = [COLOR="Red"]yes[/COLOR];
                use_xauth = no;
                use_cfgmode = [COLOR="#ff0000"]yes[/COLOR];
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }	
	     [COLOR="Green"]/*das Netzwerk, das zusätzlich erreichbar sein soll*/[/COLOR]
                phase2remoteid {
                        ipnet {
                                ipaddr = 10.10.0.0;
                                mask = 255.255.0.0;
                        }
                }				
                phase2ss = "esp-all-all/ah-all/comp-all/pfs";
                accesslist = "permit ip any 10.10.0.0 255.255.0.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Hab hier jetzt nur zwei SAs angegeben, die dritte bei mir konfigurierte sieht dann aber genauso aus: im Grunde eine Kopie der zweiten connection mit geänderten Netzwerkdaten. Wie viele SAs sich so aufbauen lassen, hab ich (noch) nicht getestet, aber ich denke, dass bei den 8 von AVM unterstützten Schluss ist.

Auf der 7390 sind die zu Testzwecken eingebauten static routes übrigens wieder gelöscht...

In der Astaro muss 'strict routing' für den IPSec-Tunnel deaktiviert sein, damit eine SNAT-Regel das/die zusätzliche/n Netzwerk/e dort hineinreichen kann.

Wie stabil ist das Ganze nun?

Naja, die erste SA ins Astaro-eigene Netz läuft rattenstabil, allerdings auch nur, weil ich der DeadPeerDetection, mit welcher unser Fritz wohl so seine Probleme hat, durch ein bash-script auf einem Server hinter der Astaro zuvorkomme, welches alle 30 sec einen Ping auf die 7390 sendet.
Die anderen beiden SAs sind schon auffälliger, da sie etwa 5 min brauchen, bis sie erstmal stehen, und der Fritz-IKE von sich aus nach wenigen Minuten ohne Traffic aus den beiden zusätzlichen Netzen meint, einen DeadPeer erkannt zu haben.
Man muss dann 5 bis 10 Ping-Runden in das jeweils "tote" Netz abschicken, dann kommt die SA wieder hoch...

Für den Produktiveinsatz könnte man das sicher auch über ein Dauerscript unterbinden, aber zu Hause läuft bei mir kein Rechner 24/7.

Howauchever, es geht auf jeden Fall, auch wenn der Kram mit dem NATten sicherlich nicht das Gelbe vom Ei ist

Aber naja, im Grunde kann ich so schon arbeiten

Hier ins Forum auf jeden Fall besten Dank für's Lesen - und Mitleiden

 

[PCMor]

Tja, muss leider berichten, dass die Tunnel zwischen meiner 7390 und der Firmenastaro zwar aufgebaut werden, aber leider nicht wirklich zuverlässig laufen.

Nach einigen Tagen mit drei SAs (1x Astaro-Netz direkt, 2x Netze hinter Astaro) waren immer mal wieder zwischendurch alle SAs down, kamen nach unterschiedlich vielen Verbindungsversuchen (durch simples Pingen der Gegenstellen) wieder hoch und brachen bei Nichtbenutzung nach unterschiedlich langen Zeiträumen wieder zusammen.

Erstmal nicht so schlimm, solange man sie wieder beleben kann, aber vorgestern nach der nächtlichen Zwangstrennung kam die direkte Astaro-SA zwar wieder hoch, verabschiedete sich aber nach nichtmal 2 Stunden (Fritz loggte 'timeout' bei IKE) - und blieb tot.

Erst ein manueller Neuaufbau seitens der Astaro brachte die SAs (vorerst) zurück.

Fazit für mich: alles geht halt in der Grundausrüstung mit der FB nicht. Immerhin die eine SA direkt ins Astaro-Netz läuft aber bombe [EDIT]solange sie die einzige SA von meiner FB auf diese Astaro bleibt[/EDIT].

 

[PCMor]

Funktioniert auch mit FB 7170

Aus aktuellem Anlass - und für die, die's interessiert:

habe vorgestern eine Außenstelle mit einer FB 7170 mit der exakt gleichen Config an eine andere Astaro (aktuell v7.507) per IPSec-Site2Site-VPN angebunden. Funzt.

Die 7170 (FW 29.04.80) verhält sich dabei exakt so, wie die 7390.
Auch, was die Probleme angeht.

Mutmaße nun, dass sich alle existenten Fritzboxen mit offiziellem AMV-VPN so als günstiges One-Way-Firmen-VPN-Gateway "missbrauchen" lassen...

 

[riedwetter]

Hallo,

@ PCMor

Danke mit deiner Anleitung hab ichs soweit mit der Astaro V8 hinbekommen. Ein Problem habe ich allerdings noch. Der Tunnel wird nur vom Netzwerk hinter der Fritz Box (in meinem Falle die 7390) aufgebaut. Aus dem Astaro Netz tut sich null wenn ich auf das Fritz Box Netz zugreifen will.

Habe in der Astaro das VPN mit initieren eingestellt, sollte doch also eigentlich gehen.

Hast du noch eine Idee?

Danke und Gruss

Sven

 

[PCMor]

Hallo Sven,

ist die Astaro in ihrem Netz das Standardgateway, oder horchen die Clients hinter ihr auf einen anderen Router?

Und ich verstehe dich richtig: du kannst von keinem Rechner hinter der Astaro auf das FB-Netz zugreifen, auch nicht bspw. direkt auf das FB-Web-GUI mit ihrer internen Adresse?

 

[riedwetter]

Hallo,

die Astaro ist das Standardgateway, an der Astaro hängt direkt das Kabelmodem am WAN Port.

Wenn der VPN Tunnel nicht aufgebaut ist kann ich den Tunnelaufbau aus dem Astaro Netz nicht erledigen. Es passiert nichts. Mache ich einen Ping aus dem FB Netz in das Astrao Netz wird der Tunnel korrekt aufgebaut und ich kann von beiden Seiten korrekt zugreifen.

Gruss

 

[PCMor]

Tschä, das ist schon strange... Ich habe in meiner Box aktuell 2 Tunnel auf zwei Astaros an unterschiedlichen Standorten laufen, und kann von beiden Astaros aus jederzeit den jeweiligen Tunnel kappen und wieder aufbauen.

Hast du denn mal im Astaro-Forum nachgehakt? Vielleicht ist das ein Problem der ASGv8...?

 

[riedwetter]

Hi,

ne dort hab ich noch nicht nachgehakt. Dort anworten noch weniger als hier. Muss ich bei gelegenheit mach fragen dort.

Danke trotzdem.

 

[PCMor]

Du kannst aber auch gerne mal anonymisierte Screenshots deiner Astaro-Config und deiner FB-vpn.cfg posten - vielleicht sieht man ja auf Anhieb was.

Was sagen denn die Astaro-Logs, wenn der Tunnelaufbau scheitert?

 

[riedwetter]

Hi,

die Config ist zu 99% gleich deiner oben geposteten (die PDF). Das Lustige ist, ich sehe nichmal ein Versuch des Tunnelaufbaus wenn ich einen Ping in das FB Netz mache. Auch keinen Drop im Paketfilter. Als ob die FW die route nicht kennen würde...

Gruss

 

[PCMor]

die Config ist zu 99% gleich deiner oben geposteten

Welches Prozent ist denn anders?

Auch keinen Drop im Paketfilter.

Wenn du den Tunnel mit "Automatic Packetfilter rules" konfiguriert hast, wird dir der Packetfilter-Live-Log der Astaro Verbindungen durch diesen Tunnel auch nicht anzeigen - dort wird nur Traffic angezeigt, der den manuell erstellten Regeln entspricht (zumindest bei der v7).

ich sehe nichmal ein Versuch des Tunnelaufbaus wenn ich einen Ping in das FB Netz mache

Wieso einen Ping? In der Astaro musst du den Tunnel doch manuell über das GUI aktivieren und solange aktiviert lassen, bis du den Tunnel trennst?!
Wenn die FB dann offline ist, geht auch die Astaro off - und wieder online, sobald die FB wieder erreichbar ist und der Tunnel ausgehandelt werden kann...

Bei mir laufen die Tunnel 24/7, durch meine nächtliche Zwangstrennung habe ich täglich eine Downtime des Tunnels von 3 - 5 min., je nachdem, wie lange es braucht, bis die DynDNS-Aktualisierung bei der Astaro angekommen ist...

Schau dir mal lieber den IPSEC-Log der Astaro an, dort findet alles statt, was den Tunnelaufbau angeht. Kommt es da bei aufgebautem Tunnel zur Auslösung von DPD?

 

[riedwetter]

Hi,

also der Tunnel ist natürlich aktiviert, in der Übersicht der aktiven Tunnel allerdings rot=nicht aufgebaut.

Im IPSEC Log steht nichts! Das ist ja das merkwürdige. Kein Versuch des Verbindungsaufbaus etc. Nur wenn ich vom FB Netzwerk den Tunnel aufbaue dann kommt dort was (dann geht der Tunnel ja auch). Wenn der Tunnel erstmal steht und Daten fließen wird er auch nicht mehr abgebaut. Fließen keine Daten mehr, ist er irgendwann abgebaut, bis ich wieder Traffic erzeuge (aus dem FB Netz).

Gruss

 

[MaxMuster]

Kann die Astaro denn den Dyndns Namen auflösen??

Jörg