VPN zwischen Fritzbox 7390 und Vigor 2900V. How to gesucht.

[schwester]

Hallo,
(Forensuche bemüht, aber nur ältere Beiträge zu älterer Firmware der Fritzbox, bzw. anderen Vigor-Routern gefunden)

Problem ist, ich bekomme keine VPN Verbindung von zu Hause ins Büro hin.

Im Büro steht ein Vigor 2900V (FW: v2.5.9.1, feste IP) und zu Hause eine Fritzbox 7390 (FW 84.05.05, dyndns.org).
AVM bietet ja unsupportete Hilfe (mit "Fritz Fernzugang einrichten") an, mit der ich es aber nicht zum laufen bekommen habe.
Nach Suchen im Netz bin ich dann auch noch auf verschiedenste Einstellungsmöglichkeiten gestoßen.
Leider habe ich nicht das Wissen um Konfigurationen auszuprobieren, wenn ich nicht weiß, was ich da einstelle. :-(

Hat jemand vielleicht eine "Schritt für Schritt" Anleitung?

Vielen Dank
Gruß S.

 

[Andre]

Bitte ändere den Titel auf "VPN zwischen Fritzbox 7390 und Vigor 2900V - How to?" (Bearbeiten/Erweitert)
"How to:" an Anfang bedeutet, dass Du ein How to anbietest, nicht dass Du es suchst.

Im Prinzip sollte es ähnlich wie eine VPN-Verbindung zu einem Cisco gehen.

 

[nukem]

Hallo zusammen!

Das ist zum Mäuse melken!

Ich schlage mich seit Wochen mit einem ähnlichen Problem rum.
Bevor ich aber hier jetzt tonnenweise Konfig-Dateien und Log-Auszüge poste, erst mal vorab die Frage, ob jemand schon von einer Lösung weiß oder es wenigstens einen Ansatz gibt.

Da wären also 4 Router, 4 Netze, 4x DSL mit DDNS-Adressen. Theoretisch scheint alles in Ordnung. IP-Adressen, Netzmasken, Routing, NAT usw. sind korrekt gesetzt

Der Tunnel von Vigor 2820 nach FB 7270 läuft wie geschnitten Brot.
Auch der Tunnel von Vigor 2500 nach FB 7270 und
von Vigor 2500 nach Vigor 2820 und umgekehrt (von 2820 nach 2500) arbeitet fehlerfrei.

Nur wenn ich von einer der FB'en einen Tunnel zu den beiden Vigor aufbauen will, bekomme ich den (aus diversen anderen Artikeln bereits bestens bekannten) IKE-Fehler 0x2027.
Mit den FB'en untereinander klappts wieder einwandfrei. Von der 7270 zur 7390 und umgekehrt gibts keine Probleme.

Alle Router benutzen die jeweils aktuelle Firmware. DDNS macht keine Probleme, da ich parallel die Web-Oberflächen der Router über deren DDNS-Namen aktualisieren kann (wegen Logs etc.).

Wie gesagt, wenn es noch keine Lösung gibt, poste ich die Konfigs und Logs gerne mal hinterher. Vielleicht lässt sich ja doch was daraus ableiten. Mir fällt dazu echt nix mehr ein. :-(

 

[encounter22]

ich besitze einen 2910 und eine FB7390 und der Tunnel läuft mittlerweile in beide Richtungen ohne Probleme über Wochen hinweg (beide Seiten ohne Zwangstrennung).
Bei der FB ist die 022 als Firmware installiert, also nicht die letzte beta weil sich deren Neuerung nur auf Sachen bezog, die ich eh abgestellt habe.
Kannst ja mal Configs posten,vielleicht fällt mir was auf.

Es gab hier mal eine Beispiel CFG, aus der habe ich mir meinen Teil zurecht gebaut:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "dyndnsname draytek";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "dyndnsname draytek";
localid {
fqdn = "dyndns fritzbox";
}
remoteid {
fqdn = "dyndnsname draytek";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "IPSEC Schlüssel eingeben";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
accesslist = "permit ip any 192.168.1.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

 

[nukem]

Hallo Encounter!

Bis auf die Algorithmen in Phase2ss finde ich keine Unterschiede, die mich stutzig machen würden. Traversal NAT wird für die Geräte hinter dem Router benötigt. Die ike_forward_rules habe ich mir gespart, da absolut identisch. Ich werde die phase2ss mal genau so testen wie Du sie gepostet hast. Bin gespannt...

{
	enabled = yes;
	conn_type = conntype_lan;
	name = "Remote";
	always_renew = no;
	reject_not_encrypted = no;
	dont_filter_netbios = yes;
	localip = 0.0.0.0;
	local_virtualip = 0.0.0.0;
	remoteip = 0.0.0.0;
	remote_virtualip = 0.0.0.0;
	remotehostname = "remote.no-ip.org";
	localid {
		fqdn = "local.no-ip.org";
	}
	remoteid {
		fqdn = "remote.no-ip.org";
	}
	mode = phase1_mode_aggressive;
	phase1ss = "all/all/all";
	keytype = connkeytype_pre_shared;
	key = "pre-shared-key ;-)";
	cert_do_server_auth = no;
	use_nat_t = yes; 
	use_xauth = no;
	use_cfgmode = no;
	phase2localid {
		ipnet {
			ipaddr = 192.168.1.0;
			mask = 255.255.255.0;
		}
	}
	phase2remoteid {
		ipnet {
			ipaddr = 192.168.2.0;
			mask = 255.255.255.0;
		}
	}
	phase2ss = "esp-all-all/ah-all/comp-all/pfs";
	accesslist =	"permit ip any 192.168.2.0 255.255.255.0";
}

Update: Wie ich bereits vermutet habe, haut jetzt auch die Verbindung vom Vigor ausgehend nicht mehr hin. Natürlich darf auch die FB sich nicht einwählen... Schade!

Ok, hier noch ein paar Log's

Die FB meint nur platt: Fernzugang (VPN) wird aufgebaut, Remote
Wirklich aufgebaut ist der Tunnel aber nie. Vielmehr wird er ohne Ende aufgebaut!
Das Log gibt nur her: VPN-Fehler: Remote, IKE-Error 0x2027
Das kennen wir ja...

Dem Vigor konnte ich etwas mehr Information entlocken. Leider kenne ich mich mit seinen Logs nicht gut genug aus, als dass ich sie vernünftig interpretieren könnte. Zumindest was den Aufbau eines VPN betrifft.
Weiß da jemand mehr?

1412012-06-06 23:52:16Jun  6 23:52:13Vigor2820IKE <==, Next Payload=ISAKMP_NEXT_SA, Exchange Type = 0x4, Message ID = 0x0
1412012-06-06 23:52:16Jun  6 23:52:13Vigor2820Responding to Aggressive Mode from 93.220.220.35
1412012-06-06 23:52:16Jun  6 23:52:13Vigor2820IKE ==>, Next Payload=ISAKMP_NEXT_SA, Exchange Type = 0x4, Message ID = 0x0
1412012-06-06 23:52:16Jun  6 23:52:13Vigor2820IKE <==, Next Payload=ISAKMP_NEXT_HASH, Exchange Type = 0x4, Message ID = 0x0
1412012-06-06 23:52:16Jun  6 23:52:13Vigor2820NAT-Traversal: Using draft-ietf-ipsec-nat-t-ike-02/03, peer is NATed
1412012-06-06 23:52:16Jun  6 23:52:13Vigor2820ISAKMP SA established with 93.220.220.35. In/Out Index: -3/0

In die andere Richtung klappt der Aufbau (wie gewohnt) problemlos.

Das Log sieht dann so aus:

1412012-06-07 00:07:41Jun  7 00:07:36Vigor2820Dialing Node3 (local) : 
1412012-06-07 00:07:42Jun  7 00:07:37Vigor2820Initiating IKE Aggressive Mode to 93.220.220.35
1412012-06-07 00:07:42Jun  7 00:07:38Vigor2820IKE ==>, Next Payload=ISAKMP_NEXT_SA, Exchange Type = 0x4, Message ID = 0x0
1412012-06-07 00:07:42Jun  7 00:07:38Vigor2820IKE <==, Next Payload=ISAKMP_NEXT_SA, Exchange Type = 0x4, Message ID = 0x0
1412012-06-07 00:07:42Jun  7 00:07:38Vigor2820NAT-Traversal: Using draft-ietf-ipsec-nat-t-ike-02/03, peer is NATed
1412012-06-07 00:07:43Jun  7 00:07:38Vigor2820IKE ==>, Next Payload=ISAKMP_NEXT_HASH, Exchange Type = 0x4, Message ID = 0x0
1412012-06-07 00:07:43Jun  7 00:07:38Vigor2820sent AI2, ISAKMP SA established with 93.220.220.35. In/Out Index: 0/-3
1412012-06-07 00:07:43Jun  7 00:07:38Vigor2820Start IKE Quick Mode to 93.220.220.35
1412012-06-07 00:07:43Jun  7 00:07:38Vigor2820IKE ==>, Next Payload=ISAKMP_NEXT_HASH, Exchange Type = 0x20, Message ID = 0xf6b21141
1412012-06-07 00:07:43Jun  7 00:07:38Vigor2820Cleint L2L remote network setting is 192.168.1.0/24
1412012-06-07 00:07:43Jun  7 00:07:38Vigor2820IKE <==, Next Payload=ISAKMP_NEXT_HASH, Exchange Type = 0x20, Message ID = 0xf6b21141
1412012-06-07 00:07:43Jun  7 00:07:38Vigor2820IKE ==>, Next Payload=ISAKMP_NEXT_HASH, Exchange Type = 0x20, Message ID = 0xf6b21141
1412012-06-07 00:07:43Jun  7 00:07:38Vigor2820sent QI2, IPsec SA established with 93.220.220.35. In/Out Index: 0/-3
1412012-06-07 00:07:43Jun  7 00:07:38Vigor2820[L2L][UP][IPSec][@3:local]

 

[encounter22]

Mit use Nat_t yes hatte ich auch keinen Erfolg, was aber an der Vigorseite zu liegen scheint. Ich fand es auch nicht so wichtig, mir war der aggressive Mode, ein Cert und diverse andere Einstellungen viel wichtiger

 

[Blasphemie]

Hallo zusammen!

Ich habe FB 7390 zu hause und DrayTec Vigor 2820 auf der Arbeit. Dabei bräuchte ich IPSec Tunnel zwichen Heim und Arbeit. Beide Richtungen sind eigentlich nicht nötig, brauche nur Zugang von Heim-PC ins Arbeitsnetzwerk.
Versuchte oben genannte Beispiele - kein Erfolg.
So ist mein Config:

vpncfg {
 connections {
	enabled = yes;
	conn_type = conntype_lan;
	name = "2 The Work";
	always_renew = no;
	reject_not_encrypted = no;
	dont_filter_netbios = yes;
	localip = 0.0.0.0;
	local_virtualip = 0.0.0.0;
	remoteip = 0.0.0.0;
	remote_virtualip = 0.0.0.0;
	remotehostname = "Feste IP von Vigor";
	localid {
		fqdn = "my.dyndns.org";
	}
	remoteid {
		fqdn = "Feste IP von Vigor";
	}
	mode = phase1_mode_aggressive;
	phase1ss = "all/all/all";
	keytype = connkeytype_pre_shared;
	key = "MyKey";
	cert_do_server_auth = no;
	use_nat_t = yes; 
	use_xauth = no;
	use_cfgmode = no;
	phase2localid {
		ipnet {
			ipaddr = 192.168.17.0;
			mask = 255.255.255.0;
		}
	}
	phase2remoteid {
		ipnet {
			ipaddr = 10.0.1.0;
			mask = 255.255.255.0;
		}
	}
	phase2ss = "esp-all-all/ah-all/comp-all/pfs";
	accesslist =	"permit ip any 10.0.1.0 255.255.255.0";
}
}

Impotrtiert wird das zwar, aber ohne Resultat.

Heimnetz hat Adressen 192.168.178.0
Arbeitnetz - 10.0.1.0

What do I wrong?

 

[Blasphemie]

Der Tunnel von Vigor 2820 nach FB 7270 läuft wie geschnitten Brot.

Kannst Du bitte erklären - wie?
Welche Einstellungen Du an Vigor und FB hast?

 

[HyBird]

Darf ich euch meine Lösung für den RV42 und einer Fritzbox nahe legen?
Schaut mal hier, das könnte euch weiter bringen.
http://www.ip-phone-forum.de/showthread.php?t=166690

 

[Blasphemie]

Freetz: vpnc client - Ipsec Tunnel zu Vigor 2820 - wie?

Hallo zusammen!

Von Anfang habe ich versucht mit standart Ftitz!box Firmware den Tunnel aufzubauen. Nicht geklappt. Dann habe ich Freetz-Image enzwickelt und uploadet. Jetz ist die frage: wie kann ich mit vpnc Subj realisieren? Also, Zugriff von drausen in mein Homenetz brauche ich nicht, es soll nur Zugriff von Heim ins Firmennetz geben.

Ist das möglich?

Danke für die Antworte!

 

[frank_m24]

@Blasphemie: Bitte beachte: Crossposting ist unerwünscht.

 

[Blasphemie]

@Blasphemie: Bitte beachte: Crossposting ist unerwünscht.

Sorry, ich dachte das sei anderer Fall, jetzt ist Freetz im Spiel.
In dem Thread habe ich schon versucht.

 

[frank_m24]

Ach so. Aber VPNC ist nur für Cisco VPN und nutzt ein proprietäres Protokoll, dass der Vigor nicht spricht. Das hilft dir nicht weiter.

 

[Blasphemie]

Das hilft dir nicht weiter.

OK, alles klar. Thanx for killing my hope!

Vielleicht gibt es irgendein universal Client, das zu allen Servers passt?.. Aber nur Client, LAN2LAN wollte ich vermeiden.