VPN Einstellungen UTM9 -> Fritzbox 7360

Hallo erst einmal.

Ich versuche seit 2 Tagen eine VPN Verbindung zwischen einer ASG220 (neuse Firmware) und einer Fritzbox 7360 (neuse Firmware) einzurichten. 
Beide haben eine Dynamische IP und sind per DynDNS erreichbar. 

Config der Fritzbox

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "AstaroASG220";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "unt-astaro.homelinux.net";
                localid {
                        fqdn = "unt-tmp-fritz.homelinux.net";
                }
                remoteid {
                        fqdn = "unt-astaro.homelinux.net";
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "geheim";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 172.30.0.0;
                                mask = 255.255.0.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-all/comp-all/pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


Config der UTM als Bild im Anhang

Das Log der Fritzbox enthält folgenden Fehler: VPN-Fehler: AstaroASG220, IKE-Error 0x1c

Im Live-Protokoll der UTM wird sehr viel angezeigt. (Kontrollverlauf und Kernel-Messaging an)

2013:07:24-10:58:08 FW01-1 pluto[22616]: | *received 92 bytes from 91.66.165.26:4500 on ppp0 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | ICOOKIE: 1d 5f 48 80 7d 99 f9 2e 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | RCOOKIE: c2 fb 5d 0f c9 48 f4 9d 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | peer: 5b 42 a5 1a 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | state hash entry 26 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | state object #80 found, in STATE_MAIN_R2 

2013:07:24-10:58:08 FW01-1 pluto[22616]: "S_unt-tmp-fritz.homelinux.net" #80: Peer ID is ID_FQDN: 'unt-tmp-fritz.homelinux.net' 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | peer CA: %none 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | S_unt-tmp-fritz.homelinux.net: no match (id: no, auth: ok, trust: ok, request: ok, prio: 2048) 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | D_REF_IpsRoaForIngoToInter: no match (id: no, auth: no, trust: no, request: ok, prio: 2048) 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | D_REF_IpsRoaForIngoToInter: no match (id: no, auth: no, trust: no, request: ok, prio: 2048) 

2013:07:24-10:58:08 FW01-1 pluto[22616]: "S_unt-tmp-fritz.homelinux.net" #80: no suitable connection for peer 'unt-tmp-fritz.homelinux.net' 

2013:07:24-10:58:08 FW01-1 pluto[22616]: "S_unt-tmp-fritz.homelinux.net" #80: sending encrypted notification INVALID_ID_INFORMATION to 91.66.165.26:500 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | state transition function for STATE_MAIN_R2 failed: INVALID_ID_INFORMATION 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | next event EVENT_RETRANSMIT in 1 seconds for #64 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | *received 476 bytes from 91.66.165.26:500 on ppp0 

2013:07:24-10:58:08 FW01-1 pluto[22616]: packet from 91.66.165.26:500: received Vendor ID payload [XAUTH] 

2013:07:24-10:58:08 FW01-1 pluto[22616]: packet from 91.66.165.26:500: received Vendor ID payload [Dead Peer Detection] 

2013:07:24-10:58:08 FW01-1 pluto[22616]: packet from 91.66.165.26:500: received Vendor ID payload [RFC 3947] 

2013:07:24-10:58:08 FW01-1 pluto[22616]: packet from 91.66.165.26:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] 

2013:07:24-10:58:08 FW01-1 pluto[22616]: packet from 91.66.165.26:500: ignoring Vendor ID payload [a2226fc364500f5634ff77db3b74f41b] 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | preparse_isakmp_policy: peer requests PSK authentication 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | creating state object #81 at 0x96b1fa8 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | ICOOKIE: ad 91 3a fc 3c 82 b1 7c 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | RCOOKIE: c3 9b ba ca 0c 66 58 02 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | peer: 5b 42 a5 1a 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | state hash entry 31 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | inserting event EVENT_SO_DISCARD, timeout in 0 seconds for #81 

2013:07:24-10:58:08 FW01-1 pluto[22616]: "S_unt-tmp-fritz.homelinux.net" #81: responding to Main Mode 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #81 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | next event EVENT_RETRANSMIT in 1 seconds for #64 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | *received 300 bytes from 91.66.165.26:500 on ppp0 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | ICOOKIE: ad 91 3a fc 3c 82 b1 7c 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | RCOOKIE: c3 9b ba ca 0c 66 58 02 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | peer: 5b 42 a5 1a 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | state hash entry 31 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | state object #81 found, in STATE_MAIN_R1 

2013:07:24-10:58:09 FW01-1 pluto[22616]: "S_unt-tmp-fritz.homelinux.net" #81: NAT-Traversal: Result using RFC 3947: peer is NATed 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #81 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | next event EVENT_RETRANSMIT in 0 seconds for #64 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | *time to handle event 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | event after this is EVENT_RETRANSMIT in 0 seconds 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | handling event EVENT_RETRANSMIT for 91.66.165.26 "S_unt-tmp-fritz.homelinux.net" #64 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | inserting event EVENT_RETRANSMIT, timeout in 20 seconds for #64 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | next event EVENT_RETRANSMIT in 0 seconds for #63 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | 


Wo liegt der Fehler? Oder was kann ich tun um den Fehler einzugrenzen?
Ich hoffe sehr Ihr könnt mir helfen!!!
  • Hi Leute,

    hat den wirklich keiner von euch eine Idee? Ich komme einfach nicht weiter. Ist es überhaupt möglich einen VPN Tunnel zwischen einer UTM9 und einer Fritzbox zu bauen?
    Die Anleitungen die ich im Netz gefunden habe sind schon recht alt und beziehen sich auf alte Versionen der UTM. 

    Bitte Helft mir!
  • In reply to taipan1005:

    Nein, ist in deiner Konstellation nicht möglich. In der AVM-Hilfe gib es ein Konfigurationsbeispiel dazu, dort wird aber ausdrücklich erwähnt, dass diese Konfiguation nur mit festen öffentlichen IP-Adressen funktioniert.

    Meiner Erfahrung nach funktioniert es auch, wenn nur die UTM eine feste IP hat. Hierfür könnte ich dir ein Beispiel raussuchen, wie wir es bei einem Kunden für das Homeoffice des Geschäftsführers am Laufen haben...
  • In reply to scorpionking:

    Nein, ist in deiner Konstellation nicht möglich. In der AVM-Hilfe gib es ein Konfigurationsbeispiel dazu, dort wird aber ausdrücklich erwähnt, dass diese Konfiguation nur mit festen öffentlichen IP-Adressen funktioniert.


    Ja, hier habe ich auch schon viele Tests durchgeführt. Sobald DynDNS Adressen verwendet werden (müssen), funktioniert es nicht. Mit IPs Adressen funktioniert es, bringt natürlich nix, wenn die sich täglich ändern.

    Meiner Erfahrung nach funktioniert es auch, wenn nur die UTM eine feste IP hat. Hierfür könnte ich dir ein Beispiel raussuchen, wie wir es bei einem Kunden für das Homeoffice des Geschäftsführers am Laufen haben...

    Hatten so einen ähnlichen Fall, aber mit dyn. Adressen --> Lösung war dann eine RED.

    Nice greetings
  • In reply to GuyFawkes:

    Wenn die FritzBox ein pivat genutztes Gerät ist und du ein bisschen Basteltrieb hast, gäbe es auch noch die Möglichkeit, OpenVPN auf der FritzBox zu installieren (hilfreich hier das IP-Phone-Forum) und dann per SSL-VPN die Verbindung zur UTM aufzubauen.

    Das funktioniert bei mir privat wunderbar (in Verbindung mit der erweiterten (selbskompilierten) FritzBox-Firmware "Freetz").
    Man darf nur nicht unbedacht ein Firmware-Update der FritzBox machen, da dann die erweiterten Funktionen weg sind.
  • In reply to taipan1005:

    Hallo scorpionking,

    Danke für Deine Antwort und Dein Angebot.
    Ich würde mich sehr freuen wenn du mir dein Beispiel heraussuchen könntest. Dei UTM ist mit einem Profi-Telekomanschluss angebunden. Es sollte möglich sein eine Feste IP einzurichten. Für Testzwecke kann ich ja erst mal die Dynamiche wie eine Feste verwenden. Damit sollte es bis zum nächsten IP-Wechsel laufen.
  • In reply to taipan1005:

    Bitteschön:

    Erst mal auf der UTM eine IPSec-Policy, Remote Gateway und die Verbindung an sich anlegen (Screenshots sind noch von der V8, sollte aber mit V9 genauso funktionieren):
        
    Nicht wundern, bei der VPN-ID kommt tatsächlich eine sog. APIPA-Adesse rein (169.254.x.x).

    Dann eine FritzVPN-Config-Datei (z.B. vpn.cfg) erstellen mit einem Texteditor der Wahl (z.B. PSPad oder Notepad++):
    vpncfg {
         connections {
                 enabled = yes;
                 conn_type = conntype_lan;
                 name = "Name wie er in der FritzBox erscheinen soll";
                 always_renew = no;
                 reject_not_encrypted = no;
                 dont_filter_netbios = yes;
                 localip = 0.0.0.0;
                 local_virtualip = 0.0.0.0;
                 remoteip = x.x.x.x;                 //Feste IP der UTM
                 remote_virtualip = 0.0.0.0;
                 localid {
                         ipaddr =  169.254.1.100;        // APIPA-IP-Adresse, hie die gleiche nehmen wie in der UTM beim Remote Gateway konfiguriert
                 }
                 remoteid {
                         ipaddr = x.x.x.x;                  //Feste IP der UTM
                 }
                 mode = phase1_mode_idp;
                 phase1ss = "alt/all-no-aes/all";
                 keytype = connkeytype_pre_shared;
                 key = "hier irgendwas kompliziertes und geheimes";      //Hier muss der Preshared Key rein, wie auf der UTM im Remote Gateway eingetragen
                 cert_do_server_auth = no;
                 use_nat_t = no;
                 use_xauth = no;
                 use_cfgmode = no;
                 phase2localid {
                         ipnet {
                                 ipaddr = 192.168.0.0;                 //Internes Netz der FritzBox
                                 mask = 255.255.255.0;
                         }
                 }
                 phase2remoteid {
                         ipnet {
                                 ipaddr = 192.168.10.0;           // Inernal Netwok der UTM
                                 mask = 255.255.255.0;
                         }
                 }            
                 phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
                 accesslist = "permit ip any 192.168.10.0 255.255.255.0";      // Hier nochmal den Zugriff aus dem UTM-Internal-Netz erlauben
         }
         ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                             "udp 0.0.0.0:4500 0.0.0.0:4500";
    }

    Vor dem Hochladen in die FritzBox unbedingt die Kommentare ("//...") rauslöschen!
    Wenn die FritzBox die Datei nicht annimmt, muss evtl. der Zeilenumbruch von "Windows" (CR+LF) auf "Linux" (LF) geändert werden. Ein ordentlicher Texteditor kann das. Ansonsten die Syntax genau prüfen, meist fehlt dann irgendwo eine schließende Klammer oder ein Semikolon.

    Danach kann die cfg-Datei in der FritzBox importiert werden. Spätestens beim ersten Zugriffsversuch aus dem FritzBox-Netz ins UTM-Netz sollte die Verbindung dann aufgebaut werden...
  • In reply to scorpionking:

    Vielen vielen Dank!!! 

    Es läuft!! Und was das beste ist, es läuft auch mit beidseitigem DynDNS. 
    Der Ausschlaggebende Hinweis, war die APIPA-Adesse (169.254.x.x), sowol in der Firitz Konfig als auch in der Gateway Konfig der Astaro.
    Für Leidensgenossen hier meine lauffähige Konfig der Fritzbox:


    vpncfg {
         connections {
                 enabled = yes;
                 conn_type = conntype_lan;
                 name = "FW01 Sophos";
                 always_renew = no;
                 reject_not_encrypted = no;
                 dont_filter_netbios = yes;
                 localip = 0.0.0.0;
                 local_virtualip = 0.0.0.0;
                 remoteip = 0.0.0.0;                
                 remote_virtualip = 0.0.0.0;
     remotehostname = "utm.homelinux.net";    //DynDNS der UTM
                 localid {
                         ipaddr =  169.254.1.100;  // APIPA-IP-Adresse, hie die gleiche nehmen wie in der UTM beim Remote Gateway konfiguriert
                 }
                 remoteid {
    fqdn = "utm.homelinux.net";
                 }
                 mode = phase1_mode_idp;
                 phase1ss = "alt/all-no-aes/all";
                 keytype = connkeytype_pre_shared;
                 key = "geheim";  
                 cert_do_server_auth = no;
                 use_nat_t = no;
                 use_xauth = no;
                 use_cfgmode = no;
                 phase2localid {
                         ipnet {
                                 ipaddr = 172.30.0.0;
                                 mask = 255.255.0.0;
                         }
                 }
                 phase2remoteid {
                         ipnet {
                                 ipaddr = 192.168.0.0;
                                 mask = 255.255.255.0;
                         }
                 }            
                 phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
                 accesslist = "permit ip any 192.168.0.0 255.255.255.0";
         }
         ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                             "udp 0.0.0.0:4500 0.0.0.0:4500";
    }
  • Klasse,
    wenn mal bisschen Zeit ist, werde ich das das noch einmal erneut testen.

    Nice greetings
  • In reply to taipan1005:

    Es läuft!! Und was das beste ist, es läuft auch mit beidseitigem DynDNS.

    Sicher, dass das auch noch nach einem Reconnect der UTM funktioniert?
    Die nimmt nämlich bei IPSec mit PSK als eigene VPN-ID m.M.n. immer ihre öffentliche IP-Adresse, was dann spätestens nach einem Reconnect zum Problem wird...
  • In reply to scorpionking:

    Ich werde einfach mal ein bisschen Warten und schaun was passiertWink Bisher läuft es. Ich habe das Gefühl das nur die Fritzbox den Tunnel aufbauen kann. Aber das ist erst mal kein Problem.
  • Werde das heute Abend mal testen. Momentan ist etwas ungünstig.
  • JA!! 
    Habe gerade ganz mutig auf den Reconect Button gedrückt. Nach etwa 2 Minuten hatte ich eine neue öffentliche IP. Weite 2 Minuten später stand die VPN Verbindung wieder. 
    Ich weis auch nicht warum, aber es geht Smile
  • In reply to taipan1005:

    Vielen vielen Dank!!! 

    Es läuft!! Und was das beste ist, es läuft auch mit beidseitigem DynDNS. 
    Der Ausschlaggebende Hinweis, war die APIPA-Adesse (169.254.x.x), sowol in der Firitz Konfig als auch in der Gateway Konfig der Astaro.
    Für Leidensgenossen hier meine lauffähige Konfig der Fritzbox:


    vpncfg {
         connections {
                 enabled = yes;
                 conn_type = conntype_lan;
                 name = "FW01 Sophos";
                 always_renew = no;
                 reject_not_encrypted = no;
                 dont_filter_netbios = yes;
                 localip = 0.0.0.0;
                 local_virtualip = 0.0.0.0;
                 remoteip = 0.0.0.0;                
                 remote_virtualip = 0.0.0.0;
     remotehostname = "utm.homelinux.net";    //DynDNS der UTM
                 localid {
                         ipaddr =  169.254.1.100;  // APIPA-IP-Adresse, hie die gleiche nehmen wie in der UTM beim Remote Gateway konfiguriert
                 }
                 remoteid {
    fqdn = "utm.homelinux.net";
                 }
                 mode = phase1_mode_idp;
                 phase1ss = "alt/all-no-aes/all";
                 keytype = connkeytype_pre_shared;
                 key = "geheim";  
                 cert_do_server_auth = no;
                 use_nat_t = no;
                 use_xauth = no;
                 use_cfgmode = no;
                 phase2localid {
                         ipnet {
                                 ipaddr = 172.30.0.0;
                                 mask = 255.255.0.0;
                         }
                 }
                 phase2remoteid {
                         ipnet {
                                 ipaddr = 192.168.0.0;
                                 mask = 255.255.255.0;
                         }
                 }            
                 phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
                 accesslist = "permit ip any 192.168.0.0 255.255.255.0";
         }
         ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                             "udp 0.0.0.0:4500 0.0.0.0:4500";
    }


    Hallo taipan1005,

    ich bin auch schon seit Stunden dabei, meine Astaro UTM 9 mit der Fritzbox 7270 meiner Eltern per VPN zu verbinden.

    Ich habe deine Config soweit mal übernommen, jedoch klappt es bei mir nicht. Es baut sich einfach kein Tunnel auf. Muss ich noch etwas spezielles beachten?

    Würde mich über eine Antwort freuen :-)

    Grüße
    Pheon

    EDIT: Problem gelöst. Scheinbar kann nur die Fritzbox den VPN-Tunnel initiieren. Ich musste das Gateway in der Astaro auf "Nur antworten" stellen. Danach funktioniert es. Nun gibts nur noch ein Problem: Wenn der VPN getrennt wird, wird der Tunnel erst wieder aufgebaut, wenn auf der Seite der Fritzbox jemand einen Ping in Richtung Astaro absetzt. Trotz der Config-Option "always_renew = yes". Gibt es dazu einen Workaround?
  • Ne habe ich leider keine Idee. Ich war recht froh als es bei mir endlich lief. Bei mir war es dei APIPA-IP-Adresse. Diese muss bei der UTM und der Fritzbox gleich sein.
  • Hallo,


    damit die Fritzbox von sich aus immer brav die Verbindung neu initiiert, habe ich in ihr eine Dummy-Telefonnr. bei einem Dummy-VOIP-Provider im Netz der Astaro eingetragen.

    Die Fritzbox versucht alle paar Minuten sich dort zu registrieren und dadurch wird die Verbindung (wieder) aufgebaut.

    Gruss
    Xavier