Nov 042011
 
  • Betrifft: Site-2-Site VPN Verbindung mittels IPSec
  • System: AVM FRITZ!Box Fon WLAN 7390 und Netgear FVS124G

Mittlerweile habe ich nach vielen Stunden Kleinarbeit eine stabile VPN Verbindung zwischen zwei Gegenstellen geschafft. Einmal mit der AVM FRITZ!Box Fon WLAN 7390 und einem Netgear ProSafe Dual WAN VPN Gigabit Firewall FVS124G.

Hier die Einstellung fĂĽr die FRITZ!Box (die ich komplett ohne der Software "FRITZ!Box Fernzugang einrichten" erstellt habe):

/*
* C:\fritzbox.cfg
* Datum
*/
 
vpncfg {
    connections {
        enabled = yes;
        conn_type = conntype_lan;
        name = "Netgear FVS124G";
        always_renew = yes;
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = 0.0.0.0;
        local_virtualip = 0.0.0.0;
        remoteip = <öffentliche IP von Netgear FVS124G>;
        remote_virtualip = 0.0.0.0;
        remotehostname = "<öffentliche IP von Netgear FVS124G>";
        localid {
            fqdn = "<öffentlicher FQDN-Name der FRITZ!Box>";
        }
        remoteid {
            fgdn = "<öffentliche IP von Netgear FVS124G>";
        }
        mode = phase1_mode_idp;
        phase1ss = "alt/all-no-aes/all";
        keytype = connkeytype_pre_shared;
        key = "<Kennwort>";
        cert_do_server_auth = no;
        use_nat_t = no;
        use_xauth = no;
        use_cfgmode = no;
        phase2localid {
            ipnet {
                ipaddr = <internes Netzwerk der FRITZ!Box>;
                mask = <interne Subnetzmakse der FRITZ!Box>;
            }
        }
        phase2remoteid {
            ipnet {
                ipaddr = <internes Netzwerk beim FVS125G>;
                mask = <interne Subnetzmaske beim FVS125G>;
            }
        }       
        phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
        accesslist = "permit ip any <internes Netzwerk beim FVS125G> 255.255.255.0";
    }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                        "udp 0.0.0.0:4500 0.0.0.0:4500";

}
       
// EOF

Nachfolgend die Einstellungen vom FVS124G. Zu finden sind beide notwendigen Punkte unter VPN

netgear_fvs124g_vpn_menu

Zuerst muss IKE Policies angelegt werden. Danach VPN Policies:

netgear_fvs124g_vpn_ike_policynetgear_fvs124g_vpn_vpn_policy

 

Erklärungen:

Parameter Erklärung Beispiel
<öffentliche IP von Netgear FVS124G> öffentliche IP-Adresse vom Netgear FVS124G 92.130.320.1
<öffentliche IP von FRITZ!Box> öffentliche IP-Adresse von der FRITZ!Box 213.169.265.23
"<öffentlicher FQDN-Name der FRITZ!Box>" ein Domänname, der auf die richtige öffentliche IP-Adresse der FRITZ!Box zeigt. "fritz.box.lan"
<Kennwort> mit diesem Kennwort wird die Verbindung verschlĂĽsselt. @ufb@red84/dEg34X
<internes Netzwerk der FRITZ!Box> Das Netzwerk, dass hinter der FRITZ!Box verwendet wird. 172.20.168.0
<interne Subnetzmaske beim FRITZ!Box> Die zugehörige Subnetzmaske bei der FRITZ!Box. 255.255.255.0
<internes Netzwerk beim FVS124G> Das Netzwerk, dass hinter dem FVS124G verwendet wird. 192.168.1.0
<interne Subnetzmaske beim FVS124G> Die zugehörige Subnetzmaske bei dem FVS124G. 255.255.255.0

 

Update 06.11.2011:

Es hat sich nach längeren Test herausgestellt, dass die Zeitangabe für die IPSec Phase II falsch war. Statt 3.600 Sekunden wird von der FRITZ!Box nämlich ein anderer Wert verlangt. Die Bilder wurden entsprechend aktualisiert. Damit läuft die Verbindung bei weiten stabiler als vorher.

 

Update 27.11.2011:

Ich hatte eine Nachfrage warum ich nun den Wert Null bei der IPSec Phase II verwende. Nun in diesem Fall fragt definitiv zuerst die FRITZ!Box nach einem neuem Schlüssel. An sich fragt das Gerät mit den niedrigeren Einstellungen zuerst nach und beide Zeitmesser gehen wieder auf Null zurück. Bei dem Netgear FVS124G ist selbst 28.800 Sekunden ein Problem und die Verbindung wird ständig getrennt. Das die FRITZ!Box nach einem neuem Schlüssel anfragt kann man sehr schön in den Logdateien sehen.

Hinweis: beim Kennwort kann die FRITZ!Box zeitweise ein Problem mit Sonderzeichen haben. Den genauen Grund weiĂź ich nicht, aber scheinbar gehen nicht alle Zeichen. Hier muss man etwas probieren.

weitere relevante Beiträge...

  4 Antworten zu “VPN zwischen FRITZ!Box Fon WLAN 7390 und Netgear FVS124G”

Kommentare (4)
  1. Super, hat mir sehr geholfen, weil ich aus unerfindlichen GrĂĽnden keine Verbindung mit dem Fritzfernzugang zwischen einer 7390 und einem SRX5308 hinbekommen habe. Jetzt funktioniert es. Werde aber noch aus SicherheitsgrĂĽnden die 3DES durch AES-256 austauschen

    Zwei Fragen zu deiner Konfiguration:
    always_renew = yes; its das die Einstellung fĂĽr die Dauerverbindung?
    Und wieso ist use_nat_t = no gesetzt?

    Vielen Dank fĂĽr Dein Script, Lambda

    • Bitte gerne.

      Zu AES-256: wĂĽrde mich interessieren ob das klappt. Habe kurz probiert aber keine stabile Leitung erhalten. Bitte um dein Feedback.

      Zu den zwei Fragen:
      always_renew = Bewirkt mehrere Funktionen: unter anderem, dass die Verbindung auch aufgebaut wird, wenn noch keine Daten an dieses Ziel gesendet wird. Ebenso wird die Verbindung aufgebaut, wenn die Leitung getrennt wurde. Im Grunde ist dies NUR fĂĽr Gateway-to-Gateway Verbindungen zu verwenden.
      use_nat_t = Bei Point-to-Point VPN sind beide kompletten IP-Bereiche von jeder Seite zur anderen Seite erreichbar. Damit wird kein NAT-T benötigt. Die Verbindung erfolgt von einer internen Adresse über die VPN-Verbindung zur anderen internen Adresse. NAT-T ist für Verbindungen notwendig wo z.B. ein weiterer Router dazwischen hängt und dieser nicht sauber ein Passthrough oder je nach Konfiguration ein sauberes Routing durchführt. Bei letzterem muss die Adressbereich plus Gateway allen weiteren Routern bekannt sein. Einfacher erklärt wird NAT benötigt wo eine einzige IP-Adresse für viele andere genutzt werden soll. Beispiel: Internetverbindung für die eigenen internen Geräte. Das ist bei Point-to-Point VPN wie erwähnt anders.

    • Kurze RĂĽckmeldung:
      Nach einigen ernüchternen Experimenten mit der 4er Firmware, musste ich nach heftigen Problemen wieder zurück auf die 3er. Zur Zeit läuft wieder 3.0.7-29, alles andere erwies sich nicht stabil, bzw gingen grundlegende Funktionen wie anständiges Routing, automatisches Neuverbinden oder Load Balancing nicht mehr.
      Haben die bei Netgear die Beta-Tests abgeschafft? Die Foren sind voll mit unzufriedenen Kunden. Netgear ist gerade dabei sich vollends um ihren guten Namen zu bringen.
      Und nein, ich habe auch keine stabile AES-Verbindung hinbekommen. Mal ging sie, mal kurz, dann länger, dann wieder gar nicht, ohne dass etwas an der Konfiguration geändert worden wäre. Jedenfalls nicht nachvollziehbar.

    • Danke fĂĽr die RĂĽckmeldung. Tja, mit instabiler Firmware hatte ich auch immer wieder mit Netgear zu kämpfen. Eigenartiger weise waren Business-Produkte empfindlicher und obwohl man es gerade dort anders erwarten könnte…

      Ich hatte jedenfalls immer Kontakt mit Netgear Support aufgesucht. Hat einmal besser und dann wieder schlechter funktioniert.

 Antworten

Du kannst diese HTML Tags und Attribute benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(erforderlich)

(erforderlich)