Nov 272011
 
  • Betrifft: Site-2-Site VPN Verbindung mittels IPSec
  • System: AVM FRITZ!Box Fon WLAN 7390 und Microsoft ISA Server 2006

Mittlerweile habe ich ebenso eine stabile VPN Verbindung zwischen der AVM FRITZ!Box Fon WLAN 7390 und dem Microsoft ISA Server 2006 hergestellt. Hierzu gibt es im Internet eine andere Quelle, wo eine Verbindung mit dem Nachfolgeprodukt Microsoft TMG 2010 durchgeführt wurde: Site to Site VPN mit der AVM Fritzbox 7390 und Microsoft TMG. Die dort gefundenen Angaben funktionierten bei mir weder mit dem ISA Server noch mit dem TMG 2010. Zwar wird dort angeben, dass es eigentlich keine professionelle Lösung ist, aber es werden standardisierte Verfahren verwendet, die je nach gewählten <Kennwort> kein Sicherheitsproblem darstellen.

Hier die Einstellung für die FRITZ!Box (erneut ohne der Software "FRITZ!Box Fernzugang einrichten" erstellt):

/*
* C:\fritzbox.cfg
* Datum
*/
 
vpncfg {
    connections {
        enabled = yes;
        conn_type = conntype_lan;
        name = "ISA Server 2006";
        always_renew = yes;
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = <öffentliche IP von FRITZ!Box>;
        local_virtualip = 0.0.0.0;
        remoteip = <öffentliche IP von ISA Server 2006>;
        remote_virtualip = 0.0.0.0;
        remotehostname = "<öffentliche IP von ISA Server 2006>";
        localid {
            fqdn = "<öffentliche IP von FRITZ!Box>";
        }
        remoteid {
            fgdn = "<öffentliche IP von ISA Server 2006>";
        }
        mode = phase1_mode_idp;
        phase1ss = "alt/all-no-aes/all";
        keytype = connkeytype_pre_shared;
        key = "<Kennwort>";
        cert_do_server_auth = no;
        use_nat_t = no;
        use_xauth = no;
        use_cfgmode = no;
        phase2localid {
            ipnet {
                ipaddr = <internes Netzwerk der FRITZ!Box>;
                mask = <interne Subnetzmaske beim FRITZ!Box>;
            }
        }
        phase2remoteid {
            ipnet {
                ipaddr = <internes Netzwerk beim ISA Server 2006>;
                mask = <interne Subnetzmaske beim ISA Server 2006>;
            }
        }       
        phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
        accesslist = "permit ip any <internes Netzwerk beim ISA Server 2006> <interne Subnetzmaske beim ISA Server 2006>";
    }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                                              "udp 0.0.0.0:4500 0.0.0.0:4500";

}

// EOF

Nachfolgend die Einstellungen für den ISA Server 2006. Die ersten Einstellungen erfolgen über den Assistenten:

isa_2006_standort_vpn_1isa_2006_standort_vpn_2isa_2006_standort_vpn_3isa_2006_standort_vpn_4isa_2006_standort_vpn_5isa_2006_standort_vpn_6isa_2006_standort_vpn_7

Nachfolgend noch zwei Einstellungen, die nicht über den Assistent abgefragt werden. Es geht um die IPSec Konfiguration für Phase I und II. Bei Phase II kann bei Sitzungsschlüsseleinstellungen der Standardwert bei "Neue Schlüssel alle:" mit 28.800 Sekunden belassen werden. Im AVM VPN-Portal steht oft 3.600 Sekunden. Damit kommt zumindest meine FRITZ!Box überhaupt nicht klar. Die Verbindung wird immer wieder unterbrochen. Daher besser einen höheren Wert angeben oder gar kein Wert. Bei Versuchen wurde festgestellt, es ist besser die FRITZ!Box initiiert nach Zeitablauf einen neuen Schlüssel. Damit habe ich definitiv eine stabilere Verbindung erhalten.

isa_2006_ipsec_phase1isa_2006_ipsec_phase2

 

Erklärungen:

Parameter Erklärung Beispiel
<öffentliche IP von ISA Server 2006>
IP-Adresse des lokalen VPN-Gateways
öffentliche IP-Adresse vom ISA Server 2006 92.130.320.1
<öffentliche IP von FRITZ!Box>
IP-Adresse des Remote-VPN-Gateways
öffentliche IP-Adresse von der FRITZ!Box 213.169.265.23
"<öffentlicher FQDN-Name der FRITZ!Box>" ein Domänname, der auf die richtige öffentliche IP-Adresse der FRITZ!Box zeigt. "fritz.box.lan"
<Kennwort> mit diesem Kennwort wird die Verbindung verschlüsselt. @ufb@red84/dEg34X
<internes Netzwerk der FRITZ!Box>
IP-Adressbereich des Remotestandortnetzwerk
Das Netzwerk, dass hinter der FRITZ!Box verwendet wird. 172.20.168.0
<interne Subnetzmaske beim FRITZ!Box> Die zugehörige Subnetzmaske bei der FRITZ!Box. 255.255.255.0
<internes Netzwerk beim ISA Server 2006> Das Netzwerk, dass hinter dem FVS124G verwendet wird. 192.168.1.0
<interne Subnetzmaske beim ISA Server 2006> Die zugehörige Subnetzmaske bei dem FVS124G. 255.255.255.0

Anmerkungen:

Je nach Firmware der FRITZ!Box scheinen nicht alle Zeichen beim Kennwort möglich zu sein. Mein Tipp ist zuerst nur Groß-, Kleinbuchstaben und Zahlen probieren. Bei entsprechender Länge sollte dies für erste Versuche kein Problem darstellen. Sonderzeichen gehen nicht immer.

Für die IPSec Phase II Konfiguration sollte bei der Schlüsseleinstellung ein hoher Wert eingestellt sein. Der genaue Wert von der FRITZ!Box ist mir nicht bekannt. Es wird aber definitiv einer verwendet, denn das merkt man wunderbar bei den Logdateien. An sich fragt das Gerät mit dem niedrigeren Einstellungen zuerst nach und beide Zeitmesser gehen wieder auf Null zurück.

Die gewählte IP-Adresse vom ISA Server 2006 bzw. TMG 2010 muss die primäre IP-Adresse sein, sonst funktioniert dies mit der FRITZ!Box nicht. Bei einer VPN-Standort-zu-Standort-Verbindung zwischen zwei ISA Server 2006 ist dies zweitrangig.

weitere relevante Beiträge...

  6 Antworten zu “VPN zwischen FRITZ!Box Fon WLAN 7390 und Microsoft ISA Server 2006”

Kommentare (6)
  1. Hallo,

    versuche auch verzweifelt, eine VPN Verbindung FritzBoxTMG Server hinzubekommen.
    Habe allerdings schon die allerneueste Firmware auf meiner 7390 Box und nur eine dynamische IP Adresse am Fritzbox WAN Port.
    Hast Du es mal unter dieser Konstellation einmal getestet?

    mfG Olaf

    • Der TMG benötigt für Standort-2-Standort VPN eine fixe IP-Adresse der Gegenstelle. Mit dynamischen IP-Adresse oder gar DNS Namen kann der nicht umgehen. Man bräuchte dort ein Skript, dass immer wieder von einem DNS Namen die jeweilige IP-Adresse erhält und dann in der Einstellung ersetzt. Dafür müsste es Lösungen geben und ist nur eine zusätzliche Erweiterung und sicher kein Problem.

      Das eigentliche Problem dürfte aber die Fritz!Box sein, denn die reagiert bei Eingabe eines DNS Namen anders als mit der Eingabe einer IP-Adresse. Nach meinen bisherigen Tests meldet die Fritz!Box den DNS Namen und nicht die IP-Adresse an die Gegenstelle. Deshalb kam bei mir keine Verbindung zustande, da der TMG eine IP-Adresse erwartet und keinen Namen. Dabei ist es egal, ob sich die IP-Adresse zum Namen ändert oder nicht. Würde die Fritz!Box einfach nur den DNS Namen in eine IP-Adresse umwandeln und damit arbeiten, dann müsste es in der Theroie klappen.

      Testweise kannst es mal probieren mit der aktuell zugewiesenen IP-Adresse. So schnell ändern sich die ja nicht. Neustart der Fritz!Box ist ja nicht notwendig. Damit müsste es für einen ersten Test funktionieren. Das Problem mit dynamischen IP-Adresse bleibt aber dann trotzdem. Man müsste immer wieder das Skript aktualisisieren und in der Fritz!Box einspielen. Ob das automatisch machbar ist? Ich wüsste nicht wie.

      Damit die Antwort: ja probiert, aber nicht geschafft. Bei dynamischen IP-Adresse muss man immer zwingend auf DNS Namen ausweichen und damit funktioniert das Ganze zwischen Fritz!Box und ISA 2006 bzw. TMG 2010 nicht mehr.

      Aber vielleicht hast du Glück und in der neuesten Fritz!OS (seit Cebit 2012) hat sich hierbei was getan? Jedenfalls müsstest du einfach „< öffentliche IP von FRITZ!Box>“ im oben genannten Skript mit dem DNS Namen ersetzen. Also von deinem DynDNS Account, wie z.B. „olaf.dyndns.org“, das man leicht über die FRITZ!Box registrieren kann.

    • Achja, kleiner Zusatz: FRITZ!OS 05.20 hab ich noch nicht eingespielt. Ich verwende nach wie vor die Vorgängerversion.

    • Habe nun das verlängerte Wochenende genutzt und die neueste Firmware eingespielt. Meine Konfiguration läuft weiterhin stabil ohne Probleme. Sehr freut mich nun endlich das Datenvolumen sehen zu können.

  2. Hallo Olaf,

    habe das gleiche Problem wie du

    Hast du jemals eine Lösung finden können?

    • Hallo Viktor,

      Mit der FRITZ!OS 5.20 hatte ich überhaupt kein Problem. Die FRITZ!OS 5.21 hatte ich nicht in Verwendung. Mit der neuesten FRITZ!OS 5.22 habe ich Stabilitätsprobleme. Die Datenverbindung klappt, aber sobald Daten übertragen werden, bricht die Fritz!Box zusammen und irgendwann hängt sich die Internetleitung auf.

      Nebenbei ist oft ein Fehler bei den IP-Adresse zu finden. Es muss beim ISA/TMG die primäre bzw. Hauptadresse sein. Ebenso müssen die internen IP-Adressen zusammenpassen. Ebenso darf das Kennwort nicht zu lange sein bzw. spezielle Zeichen (u.a. Sonderzeichen) werden nicht immer unterstützt. Für Testzwecke ein einfachers (Zahlen, Buchstaben) verwenden.

      Du hast auch dynamische Adressen? Das ist wohl die größte Hürde…

 Antworten

Du kannst diese HTML Tags und Attribute benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(erforderlich)

(erforderlich)