.titleBar { margin-bottom: 5px!important; }

[Gelöst] Ipsec Fritzbox 7590 <-> VPS Kopplung

Dieses Thema im Forum "AVM" wurde erstellt von JJFF, 9 Jan. 2019.

  1. JJFF

    JJFF Neuer User

    Registriert seit:
    9 Jan. 2019
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Hallo Forum,
    ich habe hier schon einiges über die Kopplung von VPS und Fritzbox per VPN gelesen, bekomme es aber einfach nicht hin. Bin mir so langsam auch nicht mehr sicher, ob es an meiner Unwissenheit in dem Thema liegt, oder ob sich seit den letzten Posts (viele sind von 2015/2016) einfach einiges verändert hat - sowohl an der Fritzbox als auch an Strongswan. Darum mal wieder dieses Thema.

    Ziel:
    Fritzbox 7590 mit MyFritz DynDNS soll an einen KVM VPS von netcup gekoppelt werden. Ich möchte, dass alle Geräte hinter Fritzbox per VPN den VPS erreichen und dieser auf alle Geräte hinter der Fritzbox Zugriff hat. Der VPS soll weiter unter seiner Adresse im Web verfügbar sein (für Webanwendungen). Hatte ihn mit VPNC ihn schon mal erfolgreich angebunden allerdings ist das Setup (Road Warrior?), ja nicht das was ich suche. Wenn ich das bei Wikipedia richtig gelesen habe, ist das ein Site-to-Site Setup, richtig?

    Ausgangssituationg:
    Fritzbox 7590
    DynDNS per myfritz: abcdefg.myfritz.net
    Interne IP 192.168.178.1
    Netzwerk 192.168.178.0/24
    Subnet 255.255.255.0​

    VPS KVM Virtualisierung bei netcup
    öffentliche IP 46.111.222.14
    Netzwerk 46.111.222.14/21 (per ip addr show ermittelt)
    Subnet 255.255.248.0 (per ifconfig ermittelt)
    Gateway 46.38.232.1
    Univention Corporate Server / Debian Stretch mit Linux strongSwan U5.5.1/K4.9.0-8-amd64
    Ports 500 und 4500 UDP sind in der Firewall offen​

    aus den Beiträgen hier und in anderen Foren habe ich folgende fritz.cfg erstellt:

    Code:
    vpncfg {
            connections {
                    enabled = yes;
                    editable = no;
                    conn_type = conntype_lan;
                    name = "VPS";
                    boxuser_id = 0;
                    always_renew = yes;
                    reject_not_encrypted = no;
                    dont_filter_netbios = yes;
                    localip = 0.0.0.0;
                    local_virtualip = 0.0.0.0;
                    remotehostname = 46.111.222.14;
                    remote_virtualip = 0.0.0.0;
                    localid {
                            fqdn = "abcdefg.myfritz.net";
                    }
                    remoteid {
                            fqdn = "46.111.222.14";
                    }
                    mode = phase1_mode_idp;
                    phase1ss = "all/all/all";
                    keytype = connkeytype_pre_shared;
                    key = "PiC2cNRmyXKBTXXkXsXJ57wMVMTL";
                    cert_do_server_auth = no;
                    use_nat_t = yes;
                    use_xauth = no;
                    use_cfgmode = no;
                    phase2localid {
                            ipnet {
                                    ipaddr = 192.168.178.0;
                                    mask = 255.255.255.0;
                            }
                    }
                    phase2remoteid {
                            ipnet {
                                    ipaddr = 46.111.222.14;
                                    mask = 255.255.248.0;
                            }
                    }
                    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                    accesslist = "permit ip any 46.111.222.14 255.255.248.0";
            }
            ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                                "udp 0.0.0.0:4500 0.0.0.0:4500";
    
    folgende ipsec.conf

    Code:
    conn home
            authby=secret
            auto=add
            left=46.111.222.14
            leftsubnet=46.111.222.14/21
            right=abcdefg.myfritz.net
            [email protected]
            rightsubnet=192.168.178.0/24
            ike=aes256-sha-modp1024
            esp=aes256-sha1-modp1024
    
    und folgende ipsec.secrets

    Code:
    @46.111.222.14 @FB : PSK "PiC2cNRmyXKBTXXkXsXJ57wMVMTL"
    ein ipsec up home ergibt:

    Code:
    initiating IKE_SA home[540] to 46.59.215.9
    generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
    sending packet: from 46.111.222.14[500] to 46.59.215.9[500] (1044 bytes)
    retransmit 1 of request with message ID 0
    sending packet: from 46.111.222.14[500] to 46.59.215.9[500] (1044 bytes)
    retransmit 2 of request with message ID 0
    sending packet: from 46.111.222.14[500] to 46.59.215.9[500] (1044 bytes)
    retransmit 3 of request with message ID 0
    sending packet: from 46.111.222.14[500] to 46.59.215.9[500] (1044 bytes)
    retransmit 4 of request with message ID 0
    sending packet: from 46.111.222.14[500] to 46.59.215.9[500] (1044 bytes)
    retransmit 5 of request with message ID 0
    sending packet: from 46.111.222.14[500] to 46.59.215.9[500] (1044 bytes)
    ipsec statusall

    Code:
    Status of IKE charon daemon (strongSwan 5.5.1, Linux 4.9.0-8-amd64, x86_64):
      uptime: 60 minutes, since Jan 09 21:01:21 2019
      malloc: sbrk 2703360, mmap 0, used 437824, free 2265536
      worker threads: 10 of 16 idle, 6/0/0/0 working, job queue: 0/0/0/0, scheduled: 1
      loaded plugins: charon aesni aes rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink resolve socket-default connmark stroke updown
    Listening IP addresses:
      46.111.222.14
      192.168.54.244
      172.17.42.1
    Connections:
            home:  46.111.222.14...goptppitkjbnwgzg.myfritz.net  IKEv1/2
            home:   local:  [46.111.222.14] uses pre-shared key authentication
            home:   remote: [FB] uses pre-shared key authentication
            home:   child:  46.38.232.0/21 === 192.168.178.0/24 TUNNEL
    Security Associations (0 up, 1 connecting):
            home[540]: CONNECTING, 46.38.237.214[%any]...46.59.215.9[%any]
            home[540]: IKEv2 SPIs: 3a34150f9cc23dd3_i* 0000000000000000_r
            home[540]: Tasks active: IKE_VENDOR IKE_INIT IKE_NATD IKE_CERT_PRE IKE_AUTH IKE_CERT_POST IKE_CONFIG CHILD_CREATE IKE_AUTH_LIFETIME IKE_MOBIKE
    ein tcpdump -nni ens3 esp or icmp ergibt:
    Code:
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on ens3, link-type EN10MB (Ethernet), capture size 262144 bytes
    22:03:29.607772 IP 46.111.222.14 > 185.255.31.6: ICMP 46.111.222.14 tcp port 7982 unreachable, length 48
    22:03:30.259518 IP 110.249.212.13 > 46.111.222.14: ICMP host 110.249.212.46 unreachable - admin prohibited, length 60
    in der ip xfrm policy stehen nur nullen.
    Code:
    src 0.0.0.0/0 dst 0.0.0.0/0
            socket in priority 0 ptype main
    src 0.0.0.0/0 dst 0.0.0.0/0
            socket out priority 0 ptype main
    src 0.0.0.0/0 dst 0.0.0.0/0
            socket in priority 0 ptype main
    src 0.0.0.0/0 dst 0.0.0.0/0
            socket out priority 0 ptype main
    src ::/0 dst ::/0
            socket in priority 0 ptype main
    src ::/0 dst ::/0
            socket out priority 0 ptype main
    src ::/0 dst ::/0
            socket in priority 0 ptype main
    src ::/0 dst ::/0
            socket out priority 0 ptype main
    Wo liegt der Fehler?

    Danke für eure Hilfe!
     
  2. Shirocco88

    Shirocco88 Mitglied

    Registriert seit:
    4 Jan. 2016
    Beiträge:
    775
    Zustimmungen:
    51
    Punkte für Erfolge:
    28
    Könntest Du Bitte mal die VPN-Troubleshooting Inputs der Fritzbox posten;
    hierzu die erweiterte Supportdatei http://fritz.box/?lp=support erstellen und folgenden Abschnitt posten:
    Code:
    ##### BEGIN SECTION vpn VPN
    SNIP
    ##### END SECTION vpn
    
     
  3. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,464
    Zustimmungen:
    602
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Ich hätte da schon Zweifel, ob die Angabe der IP-Adresse als "remotehostname" ohne weiteres möglich ist ... denn bekanntlich versucht AVM dafür ständig irgendwelche DNS-Abfragen, um auch an Anschlüssen mit dynamischen IP-Adressen zu funktionieren und auf Wechsel dieser Adresse reagieren zu können.

    Außerdem dürfte das AVM-VPN seine Probleme haben, den unverschlüsselten und den verschlüsselten Traffic für diese eine öffentliche IP-Adresse zu unterscheiden ... wenn alle Pakete an diese Adresse durch den Tunnel gehen würden, kämen ja auch die IPSec-Pakete mit dieser Zieladresse nie an, wenn sie selbst wieder im Tunnel landen sollen.

    Hier würde ich noch einmal von vorne beginnen mit der Planung ... ich bin nicht einmal sicher, daß das AVM-VPN bei LAN-LAN-Kopplung ohne privates Netz auf der Seite des virtuellen Servers auskommt (also ob hier die "Sperre" der IPSec-Pakete über deren Portnummern ausreichend wäre).

    Hier läge auch eine "Einwahlkonfiguration" (also die Verbindung der FRITZ!Box mit einem Firmennetzwerk - aka "der Server") irgendwie näher, solange das nur um diesen einen Host (eben den Server) geht.
     
  4. JJFF

    JJFF Neuer User

    Registriert seit:
    9 Jan. 2019
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Hallo Shirocco88
    hallo PeterPawn

    danke für eure Rückmeldungen.

    @Shirocco88 Snipped anbei (ich hoffe ich habe alles vernünftig verfremdet...). Der obere Teil bezieht sich, glaub ich, noch auf eine andere Config, die ich ausprobiert hatte.
    Code:
    ##### BEGIN SECTION vpn VPN
    
    VPN avmike
    -------
    -rw-r--r--    1 root     root         13416 Jan 10 04:20 /var/tmp/ike.log
    -rw-r--r--    1 root     root         20527 Jan  9 21:50 /var/tmp/ike.old
    2019-01-09 21:47:50 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:47:50 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:47:55 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:47:55 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:47:55 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC 56b7dc1b2b3a581c RC 00000000 0000 SA flags=
    2019-01-09 21:47:55 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:47:55 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC 56b7dc1b2b3a581c RC c69d13649a33d429 8a2ed1b8 NOTIFICATION flags=
    2019-01-09 21:47:55 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:47:55 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:48:00 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:48:00 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:48:00 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC 18da57561dd43aca RC 00000000 0000 SA flags=
    2019-01-09 21:48:00 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:48:00 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC 18da57561dd43aca RC 9fa008a5b7efe2d6 e14aaf07 NOTIFICATION flags=
    2019-01-09 21:48:00 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:48:00 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:48:05 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:48:05 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:48:05 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC 58ce37f52700933e RC 00000000 0000 SA flags=
    2019-01-09 21:48:05 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:48:05 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC 58ce37f52700933e RC d7a919d22f42f3e0 edf3ec90 NOTIFICATION flags=
    2019-01-09 21:48:05 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:48:05 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:48:10 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:48:10 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:48:10 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC 4f17f6ceda8dfd69 RC 00000000 0000 SA flags=
    2019-01-09 21:48:10 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:48:10 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC 4f17f6ceda8dfd69 RC 517583a17666a992 574ca3a9 NOTIFICATION flags=
    2019-01-09 21:48:10 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:48:10 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:48:15 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:48:15 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:48:15 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC 284d080ded2bf0e5 RC 00000000 0000 SA flags=
    2019-01-09 21:48:15 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:48:15 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC 284d080ded2bf0e5 RC 3bba35d3519f98cc 291f0eed NOTIFICATION flags=
    2019-01-09 21:48:15 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:48:15 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:48:20 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:48:20 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:48:20 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC c729a69a68ba452 RC 00000000 0000 SA flags=
    2019-01-09 21:48:20 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:48:20 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC c729a69a68ba452 RC ab776fedb78001a9 436205aa NOTIFICATION flags=
    2019-01-09 21:48:20 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:48:20 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:48:25 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:48:25 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:48:25 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC 76fa0153e849a22b RC 00000000 0000 SA flags=
    2019-01-09 21:48:25 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:48:25 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC 76fa0153e849a22b RC 524f064636e5eceb a74ec8a NOTIFICATION flags=
    2019-01-09 21:48:25 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:48:25 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:48:30 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:48:30 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:48:30 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC 9bf833a123dfb696 RC 00000000 0000 SA flags=
    2019-01-09 21:48:30 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:48:30 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC 9bf833a123dfb696 RC 202dd6af2b2ee9b 21db9df5 NOTIFICATION flags=
    2019-01-09 21:48:30 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:48:30 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:48:35 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:48:35 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:48:35 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC 847231e7fa5d5d10 RC 00000000 0000 SA flags=
    2019-01-09 21:48:35 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:48:35 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC 847231e7fa5d5d10 RC 4d92eb15c71db5d3 3fa024bd NOTIFICATION flags=
    2019-01-09 21:48:35 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:48:35 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:48:40 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:48:40 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:48:40 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC a078ff0acd337709 RC 00000000 0000 SA flags=
    2019-01-09 21:48:40 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:48:40 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC a078ff0acd337709 RC 2ef094833a21dc87 347af48 NOTIFICATION flags=
    2019-01-09 21:48:40 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:48:40 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:48:45 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:48:45 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:48:45 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC a7cdbab34e1286e3 RC 00000000 0000 SA flags=
    2019-01-09 21:48:45 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:48:45 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC a7cdbab34e1286e3 RC d01cf05830819926 b9e05f93 NOTIFICATION flags=
    2019-01-09 21:48:45 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:48:45 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:48:50 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:48:50 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:48:50 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC 209f6cccb6cfbe04 RC 00000000 0000 SA flags=
    2019-01-09 21:48:50 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:48:50 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC 209f6cccb6cfbe04 RC 89d85e485b8fee33 8528a9a5 NOTIFICATION flags=
    2019-01-09 21:48:50 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:48:50 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:48:55 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:48:55 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:48:55 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC 66d67b3b5a3fb84d RC 00000000 0000 SA flags=
    2019-01-09 21:48:55 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:48:55 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC 66d67b3b5a3fb84d RC 50939aa9ad77abc5 76ef7577 NOTIFICATION flags=
    2019-01-09 21:48:55 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:48:55 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:49:00 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:49:00 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:49:00 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC d3cac8ddd5f4c178 RC 00000000 0000 SA flags=
    2019-01-09 21:49:00 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:49:00 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC d3cac8ddd5f4c178 RC 685b2891677caa1b 8a93da3d NOTIFICATION flags=
    2019-01-09 21:49:00 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:49:00 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:49:05 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:49:05 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:49:05 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC 1fb5e9d110ddaa57 RC 00000000 0000 SA flags=
    2019-01-09 21:49:05 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:49:05 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC 1fb5e9d110ddaa57 RC 506b8853ab8ba09d f4235b38 NOTIFICATION flags=
    2019-01-09 21:49:05 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:49:05 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:49:10 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:49:10 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:49:10 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC 15d25535e2bc0997 RC 00000000 0000 SA flags=
    2019-01-09 21:49:10 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:49:10 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC 15d25535e2bc0997 RC 7639908dd2c5357 270f6f8a NOTIFICATION flags=
    2019-01-09 21:49:10 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:49:10 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:49:15 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:49:15 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:49:15 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC b8d169b448082d46 RC 00000000 0000 SA flags=
    2019-01-09 21:49:15 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:49:15 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC b8d169b448082d46 RC 1af21be79dbcb3ef 5a4f83c4 NOTIFICATION flags=
    2019-01-09 21:49:15 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:49:15 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:49:20 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:49:20 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:49:20 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC f1e42ba278040169 RC 00000000 0000 SA flags=
    2019-01-09 21:49:20 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:49:20 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC f1e42ba278040169 RC c367dafcabdf7ac1 d06ba9e3 NOTIFICATION flags=
    2019-01-09 21:49:20 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:49:20 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:49:25 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:49:25 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:49:25 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC 9a560e47bf913c68 RC 00000000 0000 SA flags=
    2019-01-09 21:49:25 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:49:25 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC 9a560e47bf913c68 RC ee53b5666d4cdf73 467b3e81 NOTIFICATION flags=
    2019-01-09 21:49:25 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:49:25 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:49:30 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:49:30 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:49:30 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC 906967a4756f8886 RC 00000000 0000 SA flags=
    2019-01-09 21:49:30 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:49:30 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC 906967a4756f8886 RC 190f58ee78cc8586 2be3538 NOTIFICATION flags=
    2019-01-09 21:49:30 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:49:30 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:49:35 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:49:35 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:49:35 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC beb11e0f9fde56bb RC 00000000 0000 SA flags=
    2019-01-09 21:49:35 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:49:35 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC beb11e0f9fde56bb RC afad56b09013966f bf99c39e NOTIFICATION flags=
    2019-01-09 21:49:35 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:49:35 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:49:40 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:49:40 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:49:40 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC 1348287332a52e4e RC 00000000 0000 SA flags=
    2019-01-09 21:49:40 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:49:40 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC 1348287332a52e4e RC 6fc2f59fd7a908c c87040f0 NOTIFICATION flags=
    2019-01-09 21:49:40 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:49:40 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:49:45 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:49:45 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:49:45 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC c219ba6d3b77d384 RC 00000000 0000 SA flags=
    2019-01-09 21:49:45 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:49:45 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC c219ba6d3b77d384 RC b0c870a1a9b2ea0b a657d2cd NOTIFICATION flags=
    2019-01-09 21:49:45 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:49:45 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:49:50 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:49:50 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:49:50 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC 213da270585816 RC 00000000 0000 SA flags=
    2019-01-09 21:49:50 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:49:50 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC 213da270585816 RC 7bce0862aac48d12 ac838723 NOTIFICATION flags=
    2019-01-09 21:49:50 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:49:50 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:49:55 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:49:55 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:49:55 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC 919f248545afc4e0 RC 00000000 0000 SA flags=
    2019-01-09 21:49:55 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:49:55 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC 919f248545afc4e0 RC f65682b5a8067737 bf6d28f7 NOTIFICATION flags=
    2019-01-09 21:49:55 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:49:55 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:50:00 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:50:00 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:50:00 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC 683a9fcaa1c1671e RC 00000000 0000 SA flags=
    2019-01-09 21:50:00 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:50:00 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC 683a9fcaa1c1671e RC 1249dfae3a0237f6 ce7b7a30 NOTIFICATION flags=
    2019-01-09 21:50:00 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:50:00 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:50:05 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:50:05 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:50:05 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC 955d87f88404b224 RC 00000000 0000 SA flags=
    2019-01-09 21:50:05 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:50:05 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC 955d87f88404b224 RC 2ea0f6784918dc69 78e8dbd0 NOTIFICATION flags=
    2019-01-09 21:50:05 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:50:05 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:50:10 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:50:10 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:50:10 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC cf3abd016f5c0639 RC 00000000 0000 SA flags=
    2019-01-09 21:50:10 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:50:10 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC cf3abd016f5c0639 RC 38218537eb4d3b89 5cde50b NOTIFICATION flags=
    2019-01-09 21:50:10 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:50:10 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:50:15 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:50:15 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:50:15 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC c2c6c964afaf4f2d RC 00000000 0000 SA flags=
    2019-01-09 21:50:15 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:50:15 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC c2c6c964afaf4f2d RC 4d83dd8dcb8c3d4a a1e8a946 NOTIFICATION flags=
    2019-01-09 21:50:15 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:50:15 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:50:20 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:50:20 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:50:20 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC cb74f24cadbcb9cc RC 00000000 0000 SA flags=
    2019-01-09 21:50:20 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:50:20 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC cb74f24cadbcb9cc RC 48586151c8039560 d3acb3f0 NOTIFICATION flags=
    2019-01-09 21:50:20 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:50:20 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:50:25 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:50:25 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:50:25 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC 4f829ace03c9553 RC 00000000 0000 SA flags=
    2019-01-09 21:50:25 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:50:25 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC 4f829ace03c9553 RC c9ef017dee147323 f9021a3c NOTIFICATION flags=
    2019-01-09 21:50:25 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:50:25 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:50:30 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:50:30 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:50:30 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC ade1da1b8e622b74 RC 00000000 0000 SA flags=
    2019-01-09 21:50:30 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:50:30 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC ade1da1b8e622b74 RC ad7cbeccc5e7ad06 c878c704 NOTIFICATION flags=
    2019-01-09 21:50:30 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:50:30 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:50:35 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:50:35 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:50:35 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC 8b3c6620c6ae4be0 RC 00000000 0000 SA flags=
    2019-01-09 21:50:35 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:50:35 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC 8b3c6620c6ae4be0 RC bec4737e530a9b53 471eef8c NOTIFICATION flags=
    2019-01-09 21:50:35 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:50:35 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:50:40 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:50:40 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:50:40 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC 832f964d9f7c8a7f RC 00000000 0000 SA flags=
    2019-01-09 21:50:40 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:50:40 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC 832f964d9f7c8a7f RC 7490d678b0a9574e dd402d3b NOTIFICATION flags=
    2019-01-09 21:50:40 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:50:40 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:50:45 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:50:45 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:50:45 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC 5345cbb6ab4f58f0 RC 00000000 0000 SA flags=
    2019-01-09 21:50:45 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:50:45 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC 5345cbb6ab4f58f0 RC 35e34d441171bd7a a087f9fc NOTIFICATION flags=
    2019-01-09 21:50:45 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:50:45 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:50:50 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:50:50 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:50:50 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC ab0da7e0a2630619 RC 00000000 0000 SA flags=
    2019-01-09 21:50:50 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:50:50 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC ab0da7e0a2630619 RC cd66a0943ee3bd54 3e64ee64 NOTIFICATION flags=
    2019-01-09 21:50:50 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:50:50 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:50:55 avmike:< create_sa(appl=dsld,cname=ipsec.tld.de)
    2019-01-09 21:50:55 avmike:ipsec.tld.de: Phase 1 starting
    2019-01-09 21:50:55 avmike:>>> aggressive mode [46.111.222.14] ipsec.tld.de: V1.0 720 IC 4ced34f4871561b3 RC 00000000 0000 SA flags=
    2019-01-09 21:50:55 avmike:ipsec.tld.de: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:50:55 avmike:<<<  infomode[46.111.222.14] ipsec.tld.de: V1.0 56 IC 4ced34f4871561b3 RC 61bf624e97306a55 a47e6b46 NOTIFICATION flags=
    2019-01-09 21:50:55 avmike:ipsec.tld.de: Phase 1 failed (initiator): IKE-Error 0x203f
    2019-01-09 21:50:55 avmike:< cb_sa_create_failed(name=ipsec.tld.de,reason=IKE-Error 0x203f)
    2019-01-09 21:50:59 avmike:< add(appl=dsld,cname=vpnuser,localip=46.59.215.91, remoteip=0.0.0.0, p1ss=LT8h/all/all/all, p2ss=LT8h/esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x803f tunnel xauth cfgmode nat_t no_certsrv_server_auth)
    2019-01-09 21:50:59 avmike:new neighbour vpnuser:  dynamic  user  every-id  nat_t
    2019-01-09 21:51:28 avmike:< add(appl=dsld,cname=vpnuser,localip=46.59.215.91, remoteip=0.0.0.0, p1ss=LT8h/all/all/all, p2ss=LT8h/esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x803f tunnel xauth cfgmode nat_t no_certsrv_server_auth)
    2019-01-09 21:51:28 avmike:new neighbour vpnuser:  dynamic  user  every-id  nat_t
    2019-01-09 21:54:59 avmike:< add(appl=dsld,cname=vpnuser,localip=46.59.215.91, remoteip=0.0.0.0, p1ss=LT8h/all/all/all, p2ss=LT8h/esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x803f tunnel xauth cfgmode nat_t no_certsrv_server_auth)
    2019-01-09 21:54:59 avmike:new neighbour vpnuser:  dynamic  user  every-id  nat_t
    2019-01-09 21:54:59 avmike:< add(appl=dsld,cname=Linux-VPS,localip=46.59.215.91, remoteip=255.255.255.255, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=2 keepalive_ip=0.0.0.0 flags=0x48001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
    2019-01-09 21:54:59 avmike:new neighbour Linux-VPS:  nat_t
    2019-01-09 21:54:59 avmike:< create_sa(appl=dsld,cname=Linux-VPS)
    2019-01-09 21:54:59 avmike:Linux-VPS: Phase 1 starting
    2019-01-09 21:54:59 avmike:>>> identity protection mode [46.111.222.14] Linux-VPS: V1.0 532 IC 3db7b37615c803d9 RC 00000000 0000 SA flags=
    2019-01-09 21:54:59 avmike:Linux-VPS: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:54:59 avmike:<<<  identity protection mode[46.111.222.14] Linux-VPS: V1.0 136 IC 3db7b37615c803d9 RC eb62f82e8d588e4f 0000 SA flags=
    2019-01-09 21:54:59 avmike:identity protection mode Linux-VPS: selected lifetime: 3600 sec(no notify)
    2019-01-09 21:54:59 avmike:Linux-VPS receive VENDOR ID Payload: XAUTH
    2019-01-09 21:54:59 avmike:Linux-VPS receive VENDOR ID Payload: DPD
    2019-01-09 21:54:59 avmike:Linux-VPS receive VENDOR ID Payload: NAT-T RFC 3947
    2019-01-09 21:54:59 avmike:>>> identity protection mode [46.111.222.14] Linux-VPS: V1.0 228 IC 3db7b37615c803d9 RC eb62f82e8d588e4f 0000 KEY flags=
    2019-01-09 21:54:59 avmike:Linux-VPS: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:54:59 avmike:<<<  infomode[46.111.222.14] Linux-VPS: V1.0 56 IC 3db7b37615c803d9 RC eb62f82e8d588e4f bd9b85c7 NOTIFICATION flags=
    2019-01-09 21:54:59 avmike:Linux-VPS: Phase 1 failed (initiator): IKE-Error 0x2005
    2019-01-09 21:54:59 avmike:< cb_sa_create_failed(name=Linux-VPS,reason=IKE-Error 0x2005)
    2019-01-09 21:54:59 avmike:< add(appl=dsld,cname=vpnuser,localip=46.59.215.91, remoteip=0.0.0.0, p1ss=LT8h/all/all/all, p2ss=LT8h/esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x803f tunnel xauth cfgmode nat_t no_certsrv_server_auth)
    2019-01-09 21:54:59 avmike:new neighbour vpnuser:  dynamic  user  every-id  nat_t
    2019-01-09 21:54:59 avmike:< add(appl=dsld,cname=Linux-VPS,localip=46.59.215.91, remoteip=255.255.255.255, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=2 keepalive_ip=0.0.0.0 flags=0x48001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
    2019-01-09 21:54:59 avmike:new neighbour Linux-VPS:  nat_t
    2019-01-09 21:54:59 avmike:< create_sa(appl=dsld,cname=Linux-VPS)
    2019-01-09 21:54:59 avmike:Linux-VPS: Phase 1 starting
    2019-01-09 21:54:59 avmike:>>> identity protection mode [46.111.222.14] Linux-VPS: V1.0 532 IC d63365969f12a0d4 RC 00000000 0000 SA flags=
    2019-01-09 21:54:59 avmike:Linux-VPS: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:54:59 avmike:<<<  identity protection mode[46.111.222.14] Linux-VPS: V1.0 136 IC d63365969f12a0d4 RC b96e6203f4a0ea9f 0000 SA flags=
    2019-01-09 21:54:59 avmike:identity protection mode Linux-VPS: selected lifetime: 3600 sec(no notify)
    2019-01-09 21:54:59 avmike:Linux-VPS receive VENDOR ID Payload: XAUTH
    2019-01-09 21:54:59 avmike:Linux-VPS receive VENDOR ID Payload: DPD
    2019-01-09 21:54:59 avmike:Linux-VPS receive VENDOR ID Payload: NAT-T RFC 3947
    2019-01-09 21:55:00 avmike:>>> identity protection mode [46.111.222.14] Linux-VPS: V1.0 228 IC d63365969f12a0d4 RC b96e6203f4a0ea9f 0000 KEY flags=
    2019-01-09 21:55:00 avmike:Linux-VPS: Warning: source changed from 0.0.0.0:500 to 46.111.222.14:500
    2019-01-09 21:55:00 avmike:<<<  infomode[46.111.222.14] Linux-VPS: V1.0 56 IC d63365969f12a0d4 RC b96e6203f4a0ea9f 7d7ea90d NOTIFICATION flags=
    2019-01-09 21:55:00 avmike:Linux-VPS: Phase 1 failed (initiator): IKE-Error 0x2005
    2019-01-09 21:55:00 avmike:< cb_sa_create_failed(name=Linux-VPS,reason=IKE-Error 0x2005)
    2019-01-09 22:00:33 avmike:46.111.222.14: packet check: IKE-Error 0x200a:
    2019-01-09 22:00:37 avmike:46.111.222.14: packet check: IKE-Error 0x200a:
    2019-01-09 22:00:44 avmike:46.111.222.14: packet check: IKE-Error 0x200a:
    2019-01-09 22:00:57 avmike:46.111.222.14: packet check: IKE-Error 0x200a:
    2019-01-09 22:01:20 avmike:46.111.222.14: packet check: IKE-Error 0x200a:
    2019-01-09 22:02:02 avmike:46.111.222.14: packet check: IKE-Error 0x200a:
    2019-01-09 22:03:18 avmike:46.111.222.14: packet check: IKE-Error 0x200a:
    2019-01-09 22:03:22 avmike:46.111.222.14: packet check: IKE-Error 0x200a:
    2019-01-09 22:03:29 avmike:46.111.222.14: packet check: IKE-Error 0x200a:
    2019-01-09 22:03:42 avmike:46.111.222.14: packet check: IKE-Error 0x200a:
    2019-01-09 22:04:05 avmike:46.111.222.14: packet check: IKE-Error 0x200a:
    2019-01-09 22:04:47 avmike:46.111.222.14: packet check: IKE-Error 0x200a:
    2019-01-09 22:06:03 avmike:46.111.222.14: packet check: IKE-Error 0x200a:
    2019-01-09 22:06:07 avmike:46.111.222.14: packet check: IKE-Error 0x200a:
    2019-01-09 22:06:14 avmike:46.111.222.14: packet check: IKE-Error 0x200a:
    2019-01-09 22:06:27 avmike:46.111.222.14: packet check: IKE-Error 0x200a:
    2019-01-09 22:06:50 avmike:46.111.222.14: packet check: IKE-Error 0x200a:
    2019-01-09 22:07:32 avmike:46.111.222.14: packet check: IKE-Error 0x200a:
    2019-01-10 01:38:24 avmike:< add(appl=dsld,cname=vpnuser,localip=46.59.219.53, remoteip=0.0.0.0, p1ss=LT8h/all/all/all, p2ss=LT8h/esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x803f tunnel xauth cfgmode nat_t no_certsrv_server_auth)
    2019-01-10 01:38:24 avmike:new neighbour vpnuser:  dynamic  user  every-id  nat_t
    2019-01-10 01:38:24 avmike:< add(appl=dsld,cname=Linux-VPS,localip=46.59.219.53, remoteip=255.255.255.255, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=2 keepalive_ip=0.0.0.0 flags=0x48001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
    2019-01-10 01:38:24 avmike:new neighbour Linux-VPS:  nat_t
    2019-01-10 01:38:24 avmike:< create_sa(appl=dsld,cname=Linux-VPS)
    2019-01-10 01:38:24 avmike:Linux-VPS: Phase 1 starting
    2019-01-10 01:38:24 avmike:>>> identity protection mode [46.111.222.14] Linux-VPS: V1.0 532 IC 5b501b5254e70fb9 RC 00000000 0000 SA flags=
    2019-01-10 01:38:26 avmike:>r> identity protection mode [46.111.222.14] Linux-VPS: V1.0 532 IC 5b501b5254e70fb9 RC 00000000 0000 SA flags=
    2019-01-10 01:38:30 avmike:>r> identity protection mode [46.111.222.14] Linux-VPS: V1.0 532 IC 5b501b5254e70fb9 RC 00000000 0000 SA flags=
    2019-01-10 01:38:38 avmike:Linux-VPS: Phase 1 failed (initiator): IKE-Error 0x2027
    2019-01-10 01:38:39 avmike:< cb_sa_create_failed(name=Linux-VPS,reason=IKE-Error 0x2027)
    2019-01-10 04:20:54 avmike:<<<  identity protection mode[216.218.206.66:65392] ???: V1.0 64 IC 3e35c70729dfedef RC 00000000 0000 SA flags=
    2019-01-10 04:20:54 avmike:no phase1ss for cert users configured
    2019-01-10 04:20:54 avmike:216.218.206.66:65392: new_neighbour_template failed
    
    VPN assocs
    ----------
    /proc/kdsld/dsliface/internet/ipsec/assocs:
    vpnuser: 46.59.219.55:0.0.0.0 0.0.0.0:192.168.178.201 0 SAs  valid enabled dynlocalip dynremoteip
        permit ip any host 192.168.178.201
        Forbidden Clients: 192.168.179.0/24
    Linux-VPS: 46.59.219.55:0.0.0.0 255.255.255.255:0.0.0.0 0 SAs  valid enabled dynlocalip
        permit ip any 46.111.222.14 255.255.248.0
        Forbidden Clients: 192.168.179.0/24
    
    VPN connections
    ----------
    /proc/kdsld/dsliface/internet/ipsec/connections:
    vpnuser: pmtu 0 mtu 1492 dont_filter_netbios
    Linux-VPS: pmtu 0 mtu 1492 dont_filter_netbios
    
    ##### END SECTION vpn

    @PeterPawn
    Verstehe ich dich richtig, dass ich möglicherweise eine virtuelle Lanschnittstelle anlege und darüber den Ipsec Traffic laufen lasse und über die "normale" Server IP dann die Erreichbarkeit aus dem Internet? Momenatn denke ich würde es reichen wenn nur https-Traffic über die Server IP geht und alles andere über die VLan IP. Würde man das dann per IP-Tables routen?
    Ich hatte auf der Seite von Stronswan auch kurz das Thema Split-Tunneling überflogen. Wäre das ein dritter Ansatz oder das gleiche?

    Hast Du für die Einwahlkonfiguration eine gute Quelle/How-To in welches ich mich einarbeiten kann?

    Danke euch!
     
  5. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,464
    Zustimmungen:
    602
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Noch einmal ganz (ganz) deutlich ... ohne exakte Beschreibung, was am Ende tatsächlich über diese VPN-Verbindung getunnelt werden soll, kann man nicht mal einen sinnvollen Plan machen.

    Was soll denn
    eigentlich heißen? Selbst wenn ich mal annehme, daß die "Server IP" die 46.111.222.14 sein soll ... was bitte ist denn eine "VLan IP"?

    Warum sollte man "per IP-Tables" irgendetwas routen? Und vor allem, wo sollte das erfolgen? Auf der FRITZ!Box gibt es schon mal kein "iptables"-Kommando und man kann auch nur mit großem Aufwand etwas in der Richtung einbinden. Man kann alles Mögliche mit "iptables" machen (bis hin zu Änderungen an Paketen und der Auswahl der richtigen Transformation für IPSec im Kernel) - aber "routen" kann man damit eigentlich gar nichts.

    Normalerweise versteht man unter "split tunneling" eine Konfiguration, bei der Daten unterschiedliche Wege nehmen können ... meist in Abhängigkeit von ihrem Source-EP bzw. dem Target-EP. Was sollte das i.V.m. dem strongSwan hier für einen Sinn ergeben ... bisher dachte ich, daß die FRITZ!Box solches "split tunneling" verwenden müßte.

    Aber das führt wieder zur Frage, was da nun tatsächlich über den Tunnel gesendet und/oder empfangen werden soll ... solange man da nur raten kann, ist alles andere auch nur Gestocher im Nebel.

    Und auch wenn man das dann weiß, gehört zu einem "Fehlerbericht" in Bezug auf VPN-Probleme eine vollständige "Berichterstattung" - in dem "Fitzelchen" von Protokoll (ja, nicht "Zitrone von Schale", was einem Cineasten vielleicht auch einfallen könnte) sind schon mal mind. drei verschiedene Fehler zu sehen und es ist sehr unwahrscheinlich, daß die alle mit derselben Konfiguration aufgetreten sind. Die Ansätze der Protokolle und Konfigurationsdateien in #1 waren per se schon nicht schlecht ... warum das auf der FRITZ!Box-Seite jetzt so abfällt bzw. warum der Leser sich die verschiedenen verwendeten Konfigurationen nun irgendwie selbst ausmalen soll, kann ich nicht so richtig verstehen. Unvollständige Informationen sind auch beim Leser reine Zeitverschwendung, weil man dann weiterhin nur raten kann, was da wohl in den Konfigurationsdateien stehen mag.

    Nein, habe ich nicht. DIe FRITZ!Box kann (per GUI-Editor) per se drei verschiedene Szenarien abdecken ... einen "remote client", der sich bei der FRITZ!Box einwählt (dafür braucht es pro Verbindung einen Benutzereintrag in der Box), die Einwahl der FRITZ!Box bei einem "access server" und die Kopplung zweier lokaler Netze - die beiden letzten kommen ohne einen gesonderten FRITZ!Box-Benutzer aus. Welches Szenario dem geplanten Einsatzzweck nun am nächsten kommt, wird man dann auch erkennen können, wenn man den Sinn dieser VPN-Verbindung erst mal erfahren hat.
     
  6. Shirocco88

    Shirocco88 Mitglied

    Registriert seit:
    4 Jan. 2016
    Beiträge:
    775
    Zustimmungen:
    51
    Punkte für Erfolge:
    28
    Ergänzend Beispiele für "Use-Cases" des VPN-Tunnels:
    1.) alle Rechner aus dem LAN der Fritzbox sollen über den IPsec-Tunnel auf den VPS-Server zugreifen können
    ==> Fritzbox VPN-Typ: "conntype_user"

    2.) alle Rechner aus dem LAN der Fritzbox sollen (genattet) auf das private Netz VPS-Server zugreifen,
    hierbei ist "Split-Tunnel" oder" Catch-All" (d.h. allen Traffic aus dem LAN der Fritzbox an den VPN-Server schicken) konfigurierbar.
    ==> Fritzbox VPN-Typ: "conntype_out", VPN-Verbindung zu einem "Firmen-LAN"

    3.) die beiden privaten Netze von Fritzbox und VPS-Server werden per IPsec-Tunnel verbunden.
    hierbei ist u.a. "Split-Tunnel" oder" Catch-All" (z.B. allen Traffic aus dem LAN der Fritzbox an den VPN-Server schicken) konfigurierbar.
    ==> Fritzbox VPN-Typ: "conntype_lan"

    Hier ist TE gefordert dies zu benennen/beschreiben.
     
    Micha0815 gefällt das.
  7. JJFF

    JJFF Neuer User

    Registriert seit:
    9 Jan. 2019
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    #7 JJFF, 11 Jan. 2019 um 17:58 Uhr
    Zuletzt von einem Moderator bearbeitet: 11 Jan. 2019 um 21:32 Uhr
    Hallo und danke euch,
    danke auch für die Ermahnung, @PeterPawn, mich hier verständlich auszudrücken. War etwas der Müdigkeit geschuldet...

    Ich versuche den Einsatzzweck mal etwas besser zu beleuchten (bitte seht mir eine möglicherweise falsche Verwendung der Termini nach. Ich übe noch...):
    Ein Bild sagt ja bekanntlich mehr als 1000 Worte, hier mal ein mein grobes Wunschsetup.

    (irgendwie klappt das einbinden von dem Bild nicht, daher per Link - Bild dem Board angehängt - by stoney)

    w7gSi76.png


    Ich möchte den Traffic zwischen dem VPS und dem Neztwerk hinter der Fritzbox per VPN (für bestimmte Ports) absichern, gleichzeitig den Zugriff aus dem Internet auf einige laufende Anwendugnen (auf anderen Ports) frei erreichbar haben - sowohl auf dem VPS als auch auf Geräten hinter der Fritzbox.

    Da ich an den Geräten (Homeserver 1 & 2) hinter Fritzbox immer mal wieder rumbastle und sich dadurch das setup häufiger ändert, wollte ich den VPN Tunnel nicht von dort zum VPS definieren sondern dies der Fritzbox überlassen und die Konfiguration zentral und einmalig aufsetzen. Ist das so sinnvoll?

    Ich hatte den VPS schon mal per VPNC erfolgreich in die Fritzbox einwählen lassen (da kamen vermutlich auch ein paar der Snippets im Protokoll oben her), konnte aber weder die restlichen Geräte im Fritznetz erreichen (ping klappte nur auf die Fritzbox) noch war der VPS dann noch aus dem Internet unter seiner IP erreichbar (logisch, er hatte ja jetzt die IP der Fritzbox). Ich bin dann davon ausgegangen, dass ein Einwahlszenario damit nicht das richtige ist. Richtig?

    Ich hatte auch mal überlegt, dass es sich eigentlich um ein End-to-Site setup (habe ich im Stronswan Wiki gelesen) handeln müsste, da sich ja eigentlich hinter dem VPS keine weiteren Teilnehmer mehr befinden. Leider gab zu dem Setup aber wenig Beispiele, wehalb ich auf eine Site-to-Site Lösung umgeschwenkt bin.

    Ist das so besser verständlich und machen meine Gedanken Sinn?
     
  8. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,464
    Zustimmungen:
    602
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Mal abgesehen davon, daß die beiden Server im Heimnetz vermutlich nicht dieselbe IP-Adresse benutzen werden, ergibt das schon Sinn ... aber hier ist es dann tatsächlich besser, wenn sich der virtuelle Server selbst als "remote client" in die FRITZ!Box einwählt. Damit erhält er eine IP(v4)-Adresse aus dem LAN der FRITZ!Box und ist über diese dann "per Tunnel" erreichbar. Bei virtuellen Servern stellt sich dann häufig aber die Frage der verwendeten Virtualisierung und ob bei dieser dann der (eingeschränkte) Admin entsprechende Löcher in eine Firewall stanzen kann - aber das ist wieder ein anderes Thema und von der verwendeten Topologie nicht direkt abhängig.

    Jedenfalls würde man hier tatsächlich für den VPS einen Benutzer in der FRITZ!Box anlegen und dann kann er sich (als "road-warrior" - daß er eine feste IPv4-Adresse hat, interessiert dabei nicht wirklich) in der FRITZ!Box anmelden ... allerdings muß diese dazu irgendwie im Internet auffindbar sein (DynDNS-Adresse).

    Das wäre jedenfalls die einfachste Konfiguration für diesen Einsatzfall ... alle Zugriffe auf den Server sind über den Tunnel möglich und gleichzeitig bleibt der Server unter seiner externen IP-Adresse erreichbar.

    Allerdings sollte man dann die VPN-Benutzer noch einmal neu einrichten ... da jeder dieser Benutzer seine eigene lokale IP-Adresse "reserviert", führen die (irgendwo oben sichtbaren) schon vorhandenen Konten zu einer "Verschiebung" der .201 - das muß nicht zwangsläufig ein Problem sein, wirkt aber "unordentlich" und bringt ggf. bei späteren Änderungen Probleme mit sich. Richtet man die Verbindung für den Server als erste ein, sollte die auch immer diese Adresse kriegen.

    Allerdings ist es nicht trivial, für diese Serververbindung dann einen DNS-Namen zu vergeben ... wenn man den unbedingt braucht (notfalls behilft man sich mit passenden "hosts"-Einträgen bzw. "lmhosts", wenn es um Windows geht), muß man etwas mehr Aufwand investieren, weil die FRITZ!Box den VPN-Adressen bisher keine Namen zuordnet (das ist auch nicht wirklich trivial zu lösen, weil dasselbe Gerät direkt im LAN ja eine andere IPv4-Adresse hat).
     
  9. Shirocco88

    Shirocco88 Mitglied

    Registriert seit:
    4 Jan. 2016
    Beiträge:
    775
    Zustimmungen:
    51
    Punkte für Erfolge:
    28
    auf seiten der Fritzbox würde ich bei der empfohlenen "User Dial-In" VPN-Configuration eine Anpassung der Accesslist-Configuration durchführen und die VPN-Tunnel-Nutzung seitens Fritzbox-LAN auf die 2 Devices (RasPI, NAS) und deren benötigten Protokolle "whitelisten".
     
  10. JJFF

    JJFF Neuer User

    Registriert seit:
    9 Jan. 2019
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Hallo zusammen,

    mit dem Hinweis auf das Einwahlszenario habe ich etwas im Netz gesucht und siehe da, es funktioniert. DANKE!!!

    Ich habe in der Fritzbox einen Benutzer vserver angelegt. Meine ein ipsec.conf sieht folgendermaßen aus
    Code:
    config setup
            uniqueids=no
    conn %default
            ikelifetime=60m
            keylife=20m
            rekeymargin=3m
            keyingtries=1 
     
       # Anforderung Fritzbox
            ike=aes256-sha-modp1024
            esp=aes256-sha1-modp1024
            keyexchange=ikev1
            aggressive=yes
    
    conn home
            left=46.111.222.14
            leftid=keyid:vserver
            leftsourceip=%config4
            leftauth=psk
            leftauth2=xauth
            leftfirewall=yes 
            xauth_identity=vserver
         
            right=abcdefg.myfritz.net
            [email protected]
            rightsubnet=192.168.178.0/24
            rightauth=psk
            auto=add
    die ipsec.secrets
    Code:
    : PSK 0n8kE12fggP0ZjMTS
    
    vserver : XAUTH "S7244FtjpdCUSV"
    Ich werde beobachten wie stabil das setup läuft. Kann man daran noch etwas verbessern?

    @Shirocco88 das Thema "whitelisten" werde ich angehen, wenn der RaspPI wieder angeschlossen wird.
     
  11. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,464
    Zustimmungen:
    602
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Dann kannst Du das Thema ja entsprechend kennzeichnen, damit sich andere schon am Titel (bzw. am "Tag") orientieren können, danke.