VPN Verbing mit Netgear DGFV338

[MyKey0815]

Wir haben in unserer Firma einen DGFV338 Router. Der nutzt für den Verbindungsaufbau per VPN eine Mode Config.

Konfiguriert wurde diese unter anderem wie folgt:
Traffic Tunnel Security Level
-Pre-Shared Key Group DH Group 2 (1024 bit)
-Sa Lifetime 28000 seconds
-Encryption Algorithm: 3DES
-Integrity Algorithm: SHA-1

IKE Policy
-Exchange Mode: Aggressive
- Local Identifier Type: FQDN
- Remote Identifier Type: User-FQDN
IKE SA Paramether
-Encryption Algorithm: 3DES
-Authetication Alogorithm: SHA-1

Diese Einstellungen können nicht verändert werden, da sie so vorgegeben wurden und sonst Auswirkungen auf unsere anderen Außendienstmitarbeiter hätten.

Nun möchte ich fragen, wie ich meiner FB7170 beibringen kann, sich mit dem DGFV338 zu verbinden. Müssen evtl. noch Freetz-Pakete installiert werden? Hat jemand schon solche eine Box-zu-Box Verbindung herstellen können?

Grund für die Frage: Es gibt in großen Abständen Anwendungsfälle, wo ich schon vor der Anmeldung eine Verbindung in unser VPN gebrauchen könnte. Denn nach der Anmeldung kann ich ohne Probleme den ShrewSoft-Client benutzen.

 

[MyKey0815]

VPNCFG Dokumentation

[Edit frank_m24: Aus eigenem Thread hier reinverschoben. Eine Frage - ein Thread.]
Ich würde gerne eine Beschreibung der einzelnen Einstellungsparameter in der Konfigurations-Datei für das VPN haben.

Da ich einen sehr "ausgefallen" Anwendungsfall habe (FB7170 soll mit DGFV338), würde ich die .cfg gerne per Hand erstellen und bräuchte für die einzelnen Parameter die Beschreibung und die gültigen Werte.

Denke dass ich dann damit meine VPN-Verbindung auch hinbekomme könnte.

Gibt es so ein Dokument direkt bei AVM?

 

[effmue]

Guude,
hast du mal im AVM-VPN Portal danach gestöbert..??

 

[KunterBunter]

Dort gibt es eine ganze Sammlung von Beispiel-Konfigurationen, fast alle für sehr "ausgefallene" Anwendungsfälle wie deinen. Aber die Bedeutung der Parameter musst du dir selbst erarbeiten.

 

[MyKey0815]

Danke für die Hinweise. Ich habe jetzt verschiede Beispiel-Conf. miteinander verglichen und denke, dass es passen sollte.

[Edit frank_m24: Bitte benutzt CODE Tags für solche Ausgaben.]

vpncfg {
        connections {
                enabled = no;
                conn_type = conntype_user;
                name = "DGFV338";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remotehostname = "ddnsentfernt.dyndns.org";
                remote_virtualip = 0.0.0.0;
                localid {
                        user_fqdn = "abc@";
                }
                remoteid {
                        fqdn = "entferntedomain.de";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "geheim";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.101.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
                accesslist = 
                             "permit ip any 192.168.100.0 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Leider kommt bei dem entfernten VPN-Router nichts an. Wenn ich also die Verbing aktiv schalte, müsste ja mindestens beim entfernten Router die irgentwas im Log registriert werden. Aber das Log bleibt leer.

Eigene Konfiguration (FB7170): 192.168.2.x - 255.255.255.0
Entferntes Netzwerk (DGFV338): 192.168.100.x - 255.255.255.0
VPN-DHCP-Pool: 192.168.101.x - 255.255.255.0

Wäre nett, wenn mal jemand kurz drüber schauen könnte und eine Idee dazu hätte

Danke im Vorraus

 

[KunterBunter]

Ich habe schon nach den ersten zwei Zeilen aufgehört mit dem drüber schauen.

enabled = no;
conn_type = conntype_user;

Deine Config ist ausgeschaltet und für ein VPN LAN-to-LAN muss dort conntype_lan stehen

 

[MyKey0815]

Das mit dem "ausgeschaltet" ist bewußt so gemacht. Ich möchte diese VPN-Verbindung nur bei Bedarf herstellen. Wenn ich dann in der FB den Haken "aktiviert" setze, paßt dass ganze wieder.

Danke für den Tipp mit dem "conntype_lan" - gleich geändert

Nun wird in der FB als Adresse im Internet "255.255.255.255" angezeigt. Aber weder die Verbindung wird aufgebaut, noch wird im Log der Gegenstelle überhaupt angzeigt, dass da was angekommen ist.

 

[HyBird]

Diese Thematik löste ich schon mit einem Linksys RV042. Die Kofiguration sollte so oder leicht modifiziert auch am Netgear laufen.
Guckst Du hier!

Erwarte aber keine Wunder von der Übertragungsrate die Verschlüsselung ist echt heftig. Und wird die Fritzbox ans Schwitzen bringen.