- Betrifft: Site-2-Site VPN Verbindung mittels IPSec
- System: AVM FRITZ!Box Fon WLAN 7390 und Netgear FVS124G
Mittlerweile habe ich nach vielen Stunden Kleinarbeit eine stabile VPN Verbindung zwischen zwei Gegenstellen geschafft. Einmal mit der AVM FRITZ!Box Fon WLAN 7390 und einem Netgear ProSafe Dual WAN VPN Gigabit Firewall FVS124G.
Hier die Einstellung für die FRITZ!Box (die ich komplett ohne der Software "FRITZ!Box Fernzugang einrichten" erstellt habe):
/*
* C:\fritzbox.cfg
* Datum
*/
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Netgear FVS124G";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = <öffentliche IP von Netgear FVS124G>;
remote_virtualip = 0.0.0.0;
remotehostname = "<öffentliche IP von Netgear FVS124G>";
localid {
fqdn = "<öffentlicher FQDN-Name der FRITZ!Box>";
}
remoteid {
fgdn = "<öffentliche IP von Netgear FVS124G>";
}
mode = phase1_mode_idp;
phase1ss = "alt/all-no-aes/all";
keytype = connkeytype_pre_shared;
key = "<Kennwort>";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = <internes Netzwerk der FRITZ!Box>;
mask = <interne Subnetzmakse der FRITZ!Box>;
}
}
phase2remoteid {
ipnet {
ipaddr = <internes Netzwerk beim FVS125G>;
mask = <interne Subnetzmaske beim FVS125G>;
}
}
phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
accesslist = "permit ip any <internes Netzwerk beim FVS125G> 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";}
// EOF
Nachfolgend die Einstellungen vom FVS124G. Zu finden sind beide notwendigen Punkte unter VPN
Zuerst muss IKE Policies angelegt werden. Danach VPN Policies:
Erklärungen:
| Parameter | Erklärung | Beispiel |
| <öffentliche IP von Netgear FVS124G> | öffentliche IP-Adresse vom Netgear FVS124G | 92.130.320.1 |
| <öffentliche IP von FRITZ!Box> | öffentliche IP-Adresse von der FRITZ!Box | 213.169.265.23 |
| "<öffentlicher FQDN-Name der FRITZ!Box>" | ein Domänname, der auf die richtige öffentliche IP-Adresse der FRITZ!Box zeigt. | "fritz.box.lan" |
| <Kennwort> | mit diesem Kennwort wird die Verbindung verschlüsselt. | @ufb@red84/dEg34X |
| <internes Netzwerk der FRITZ!Box> | Das Netzwerk, dass hinter der FRITZ!Box verwendet wird. | 172.20.168.0 |
| <interne Subnetzmaske beim FRITZ!Box> | Die zugehörige Subnetzmaske bei der FRITZ!Box. | 255.255.255.0 |
| <internes Netzwerk beim FVS124G> | Das Netzwerk, dass hinter dem FVS124G verwendet wird. | 192.168.1.0 |
| <interne Subnetzmaske beim FVS124G> | Die zugehörige Subnetzmaske bei dem FVS124G. | 255.255.255.0 |
Update 06.11.2011:
Es hat sich nach längeren Test herausgestellt, dass die Zeitangabe für die IPSec Phase II falsch war. Statt 3.600 Sekunden wird von der FRITZ!Box nämlich ein anderer Wert verlangt. Die Bilder wurden entsprechend aktualisiert. Damit läuft die Verbindung bei weiten stabiler als vorher.
Update 27.11.2011:
Ich hatte eine Nachfrage warum ich nun den Wert Null bei der IPSec Phase II verwende. Nun in diesem Fall fragt definitiv zuerst die FRITZ!Box nach einem neuem Schlüssel. An sich fragt das Gerät mit den niedrigeren Einstellungen zuerst nach und beide Zeitmesser gehen wieder auf Null zurück. Bei dem Netgear FVS124G ist selbst 28.800 Sekunden ein Problem und die Verbindung wird ständig getrennt. Das die FRITZ!Box nach einem neuem Schlüssel anfragt kann man sehr schön in den Logdateien sehen.
Hinweis: beim Kennwort kann die FRITZ!Box zeitweise ein Problem mit Sonderzeichen haben. Den genauen Grund weiß ich nicht, aber scheinbar gehen nicht alle Zeichen. Hier muss man etwas probieren.