Site-toSite-VPN zw. FritzBox 7270 und Watchguard Firebox III 700

[AVMFritz]

Hallo zusammen,

seit einer Woche habe ich einen Site-to-Site-VPN-Tunnel zwischen einer FritzBox 7270 und einer Watchguard Firebox III 700 in Betrieb. Das ging nach der Anleitung von AVM weitestgehend einfach: http://www.avm.de/de/Service/Servic...perabilitaet/box_zu_watchguard.php?portal=VPN.

Der VPN-Tunnel wird nur dann aufgebaut, wenn eine IP-Verbindung zwischen den Partnernetzen aufgebaut wird, z. B. durch einen Ping. Wenn dann für eine gewisse Zeit keine solche IP-Kommunikation mehr stattfindet, wird der Tunnel abgebaut. Das ist auch soweit noch alles OK.

Nun stelle ich aber folgendes Problem fest:
Der Tunnel-Wiederaufbau funktioniert nur dann, wenn man vom Netzwerk hinter der FritzBox aus die IP-Kommunikation initiiert. Dann kann die Kommunikation auch vom Netzwerk hinter der Watchguard zum Netzwerk hinter der FritzBox stattfinden.

Wenn man jedoch vom Netzwerk hinter der Watchguard aus eine IP-Kommunikation beginnen möchte und der VPN-Tunnel nocht nicht wiederhergestellt ist, wird der Tunnel nicht aufgebaut. Auf der Watchguard sieht man im Log, dass ein Schlüsselaustausch mit der FritzBox angefordert wird, aber die FritzBox sendet keine Antwort zurück.

Ich kann mir im Moment nicht erklären, warum das so ist und im Internet ist dazu auch nichts zu finden. Hat hier im Forum jemand eine Idee?

Vielen Dank

AVMFritz

 

[Novize]

Ist doch eigentlich logisch:
Die Fritzbox besitztz den Schlüssel zur Firebox und kommt dort hinein, wenn sie es für notwendig hält.
Ist die Fritz aber wieder draußen / ist die Tür geschlossen (die Verbindung ist wieder abgebaut), woher soll die Fritz denn wissen, dass die Firebox was von ihr will. Das merkt sie doch erst, wenn sie die Tür selbst wieder aufgemacht hat.

 

[AVMFritz]

Hallo zusammen,

Sinn und Zweck eines Site-to-Site-VPN ist ja gerade, dass der Tunnel von beiden Seiten aufgebaut werden kann.

Beide Seiten besitzen den gemeinsamen Peshared Key, den DNS-Namen der Gegenstelle und die zu verschlüsselnden Netze. Die Verschlüsselung und der dafür erforderliche Key werden dann erst vor der eingentlichen IP-Verbindung ausghandelt und in regelmäßigen Abständen erneuert. Somit sollte der FritzBox schon klar sein, was sie mit einer Anfrage vom Watchguard-Partner machen soll, oder etwa nicht?

So sieht es für mich eher nach einem Client-to-Site-VPN aus, bei der der Client (FritzBox) die Verbindung initiieren muss, damit zwischen Client und Server (Watchguard) der Tunnel aufgebaut wird.

Viele Grüße

AVMFritz

 

[Novize]

Sinn und Zweck eines Site-to-Site-VPN ist ja gerade, dass der Tunnel von beiden Seiten aufgebaut werden kann.

Dann mache deiner Firebox klar, dass sie bei Bedarf auch mal die Verbindung initiiert und auch komplett aufbaut.
Es scheint ja im Moment (laut Deiner Beschreibung) so, dass genau das nicht passiert. Die Fritz kann die Verbindung nicht initiieren, denn sie weiß ja nichts von dem Verbindungswunsch. Das muss die Firebox schon von sich aus machen. Sie muss die Verbindung komplett aufbauen und genau da scheint es zu scheitern.
Für genauere Analysen bedarf es schon einer genaueren Netzwerkanalyse, was da an Daten von wo nach wo fließt (oder auch nicht...)

 

[AVMFritz]

Ich hatte bereits in der Schilderung der Ausgangslage beschrieben, dass die Watchguard Requests zum Schlüsselaustausch an die FritzBox schickt. Wenn jedoch nach 5 Requests keine Antwort kommt, dann scheitert der Verbindungsversuch und die Watchguard beginnt von Neuem:

Auf der Watchguard sieht man im Log, dass ein Schlüsselaustausch mit der FritzBox angefordert wird, aber die FritzBox sendet keine Antwort zurück.

 

[Das-Korn]

Hallo,
habe genau das selbe Problem!

Hast du schon eine Lösung gefunden?

Bei der Firebox kann man ja einstellen, dass diese "Keep-alive" Pakete sendet. Könnte man das auch seitens der Fritzbox wäre das Problem ja gelöst. (Wenn auch unschön!)

Hat noch jmd eine Idee?

Das-Korn

Btw: Könnte man den Thread mal in ein sinnvolles Forum verschieben? Thx

 

[AVMFritz]

Hallo Das-Korn,

nein, ich bin nicht weiter gekommen - hatte aber auch keine Zeit mehr dafür.

Hast Du denn schon einen Tunnel laufen und Du kannst auch nur über die FritzBox eine Kommunikation initiieren und dann erst vom Netz hinter der Firebox zum Netz der FritzBox kommunizieren?

Dann sind wir offenbar derzeit die einzigen beiden, die das Problem haben oder eine solche Anbindung einrichten, was ich mir aber nicht vorstellen kann.

Bei AVM anzufragen, wird nicht weiterhelfen, da deren Anleitung ja nur einen freiwilligen Charakter hat, es für diese Anbindung also keinen Support gibt.

Also ich hoffe immer noch, dass sich ein Mitglied aus dem Forum unseres Problems annimmt und uns evtl. weiterhelfen kann.

Danke

AVMFritz

PS: Sorry, ich hatte keine Idee, in welchem Forumsbereich ich den Thread posten sollte.

 

[HyBird]

Postet mal nen Screenshot von allen einstellungen der Firebox und die cfg datei der fritzbox. das würde mir helfen das problem zu finden.

 

[Das-Korn]

Ich habe mich extra für das Thema hier angemeldet, weil ich zu dem Problem sonst überhaupt nichts im Netz finden konnte.

Es lohnt sich wohl eher nicht die cfg zu Posten, da ich 1zu1 dieser Anleitung gefolgt bin:
http://www.avm.de/de/Service/Servic...perabilitaet/box_zu_watchguard.php?portal=VPN

Einziger Unterschied ist, dass die Fritzbox _und_ die Firebox über DynDNS laufen.

Gibt es bei der Fritzbox die Möglichkeit regelmäßige Pings z.b. durchzuführen? Das würde die VPN ja am Leben halten. Bei der Firebox nennt sich diese Funktion "Keep alive".
Keine Lust nen extra rechner hinzustellen, der alle paar min einen Ping ins andere Netz ausführt

Das-Korn

 

[HyBird]

always renew = yes

konfiguration gegenseite läuft also ohne pfs?
wo sind die screenshots?

 

[AVMFritz]

Hallo HyBird,

ich habe nun mit der Option "always_renew = yes" getestet. Leider hat das nichts gebracht. Der Tunnel kann immer noch nicht vom Netz hinter der Watchguard aus initiiert werden.

PFS ist bei mir auf der Watchguard nicht aktiv.

Auch ich bin strikt nach der Anleitung von AVM vorgegangen. Da aber auch meine Watchguard nur über DynDNS zu erreichen ist, habe ich die CFG-Datei für die FritzBox entsprechend angepasst. An die CFG-Datei komme ich jetzt nicht, da die Gegenseite nicht mehr zu erreichen ist.

Gruß

AVMFritz

 

[AVMFritz]

Hallo HyBird,

Korrektur: Offenbar funktioniert das mit der Option "always_renew = yes" doch. Nachdem ich mit meiner vorherigen Antwort fertig war und nochmals einen Ping Richtung Netzwerk der FritzBox geschickt habe, war der Tunnel wieder aktiv.

@Das-Korn: Konntest Du auch schon mit dieser Option testen? Funktioniert der Tunnel damit auch bei Dir?

Danke und Gruß

AVMFritz

 

[AVMFritz]

Hallo HyBird,

erneute Korrektur: Nach einer Stunde funktionierender VPN-Verbindung ist der Tunnel beendet worden, obwohl die Watchguard noch eine Restgültigkeit von einer Stunde angezeigt hatte.

Seither hat sich der Tunnel nicht mehr automatisch aufgebaut.

AVMFritz

 

[HyBird]

Nun Ja Da du immer noch keine Screenshots von deiner Firebox veröffentlichst,
kann ich da nur im Dunkeln tappen.

Hier habe ich mal ne Config veröffentlicht die den RV042 von Cisco mit der Fritzbox zum laufen bringt.
Vielleicht schaltest du deine config in deiner Firebox auf PFS um probierst mal jene Parameter. Wenn möglich.
Wichtig ist auch die Gültigkeitsdauer der Schlüssel. Die sollten auf beiden Seiten gleich sein.

 

[AVMFritz]

Hallo HyBird,

jetzt funktioniert der Tunnel wieder. Nach etwa 10 Minuten hat die FritzBox sich wieder bei der Watchguard gemeldet und den Tunnel initiiert.

Offenbar dauert der Aufbau mit der FritzBox-Option länger, als mit der Option, vom Netz hinter der FritzBox einen Ping Richtung Netz hinter der Watchguard zu senden.

Danke und Gruß

AVMFritz