This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Einstellungen UTM9 -> Fritzbox 7360

Hallo erst einmal.

Ich versuche seit 2 Tagen eine VPN Verbindung zwischen einer ASG220 (neuse Firmware) und einer Fritzbox 7360 (neuse Firmware) einzurichten. 
Beide haben eine Dynamische IP und sind per DynDNS erreichbar. 

Config der Fritzbox

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "AstaroASG220";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "unt-astaro.homelinux.net";
                localid {
                        fqdn = "unt-tmp-fritz.homelinux.net";
                }
                remoteid {
                        fqdn = "unt-astaro.homelinux.net";
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "geheim";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 172.30.0.0;
                                mask = 255.255.0.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-all/comp-all/pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


Config der UTM als Bild im Anhang

Das Log der Fritzbox enthält folgenden Fehler: VPN-Fehler: AstaroASG220, IKE-Error 0x1c

Im Live-Protokoll der UTM wird sehr viel angezeigt. (Kontrollverlauf und Kernel-Messaging an)

2013:07:24-10:58:08 FW01-1 pluto[22616]: | *received 92 bytes from 91.66.165.26:4500 on ppp0 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | ICOOKIE: 1d 5f 48 80 7d 99 f9 2e 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | RCOOKIE: c2 fb 5d 0f c9 48 f4 9d 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | peer: 5b 42 a5 1a 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | state hash entry 26 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | state object #80 found, in STATE_MAIN_R2 

2013:07:24-10:58:08 FW01-1 pluto[22616]: "S_unt-tmp-fritz.homelinux.net" #80: Peer ID is ID_FQDN: 'unt-tmp-fritz.homelinux.net' 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | peer CA: %none 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | S_unt-tmp-fritz.homelinux.net: no match (id: no, auth: ok, trust: ok, request: ok, prio: 2048) 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | D_REF_IpsRoaForIngoToInter: no match (id: no, auth: no, trust: no, request: ok, prio: 2048) 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | D_REF_IpsRoaForIngoToInter: no match (id: no, auth: no, trust: no, request: ok, prio: 2048) 

2013:07:24-10:58:08 FW01-1 pluto[22616]: "S_unt-tmp-fritz.homelinux.net" #80: no suitable connection for peer 'unt-tmp-fritz.homelinux.net' 

2013:07:24-10:58:08 FW01-1 pluto[22616]: "S_unt-tmp-fritz.homelinux.net" #80: sending encrypted notification INVALID_ID_INFORMATION to 91.66.165.26:500 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | state transition function for STATE_MAIN_R2 failed: INVALID_ID_INFORMATION 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | next event EVENT_RETRANSMIT in 1 seconds for #64 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | *received 476 bytes from 91.66.165.26:500 on ppp0 

2013:07:24-10:58:08 FW01-1 pluto[22616]: packet from 91.66.165.26:500: received Vendor ID payload [XAUTH] 

2013:07:24-10:58:08 FW01-1 pluto[22616]: packet from 91.66.165.26:500: received Vendor ID payload [Dead Peer Detection] 

2013:07:24-10:58:08 FW01-1 pluto[22616]: packet from 91.66.165.26:500: received Vendor ID payload [RFC 3947] 

2013:07:24-10:58:08 FW01-1 pluto[22616]: packet from 91.66.165.26:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] 

2013:07:24-10:58:08 FW01-1 pluto[22616]: packet from 91.66.165.26:500: ignoring Vendor ID payload [a2226fc364500f5634ff77db3b74f41b] 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | preparse_isakmp_policy: peer requests PSK authentication 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | creating state object #81 at 0x96b1fa8 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | ICOOKIE: ad 91 3a fc 3c 82 b1 7c 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | RCOOKIE: c3 9b ba ca 0c 66 58 02 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | peer: 5b 42 a5 1a 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | state hash entry 31 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | inserting event EVENT_SO_DISCARD, timeout in 0 seconds for #81 

2013:07:24-10:58:08 FW01-1 pluto[22616]: "S_unt-tmp-fritz.homelinux.net" #81: responding to Main Mode 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #81 

2013:07:24-10:58:08 FW01-1 pluto[22616]: | next event EVENT_RETRANSMIT in 1 seconds for #64 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | *received 300 bytes from 91.66.165.26:500 on ppp0 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | ICOOKIE: ad 91 3a fc 3c 82 b1 7c 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | RCOOKIE: c3 9b ba ca 0c 66 58 02 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | peer: 5b 42 a5 1a 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | state hash entry 31 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | state object #81 found, in STATE_MAIN_R1 

2013:07:24-10:58:09 FW01-1 pluto[22616]: "S_unt-tmp-fritz.homelinux.net" #81: NAT-Traversal: Result using RFC 3947: peer is NATed 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #81 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | next event EVENT_RETRANSMIT in 0 seconds for #64 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | *time to handle event 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | event after this is EVENT_RETRANSMIT in 0 seconds 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | handling event EVENT_RETRANSMIT for 91.66.165.26 "S_unt-tmp-fritz.homelinux.net" #64 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | inserting event EVENT_RETRANSMIT, timeout in 20 seconds for #64 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | next event EVENT_RETRANSMIT in 0 seconds for #63 

2013:07:24-10:58:09 FW01-1 pluto[22616]: | 


Wo liegt der Fehler? Oder was kann ich tun um den Fehler einzugrenzen?
Ich hoffe sehr Ihr könnt mir helfen!!!


This thread was automatically locked due to age.
Parents
  • Hi Leute,

    hat den wirklich keiner von euch eine Idee? Ich komme einfach nicht weiter. Ist es überhaupt möglich einen VPN Tunnel zwischen einer UTM9 und einer Fritzbox zu bauen?
    Die Anleitungen die ich im Netz gefunden habe sind schon recht alt und beziehen sich auf alte Versionen der UTM. 

    Bitte Helft mir!
  • Hallo scorpionking,

    Danke für Deine Antwort und Dein Angebot.
    Ich würde mich sehr freuen wenn du mir dein Beispiel heraussuchen könntest. Dei UTM ist mit einem Profi-Telekomanschluss angebunden. Es sollte möglich sein eine Feste IP einzurichten. Für Testzwecke kann ich ja erst mal die Dynamiche wie eine Feste verwenden. Damit sollte es bis zum nächsten IP-Wechsel laufen.
  • Bitteschön:

    Erst mal auf der UTM eine IPSec-Policy, Remote Gateway und die Verbindung an sich anlegen (Screenshots sind noch von der V8, sollte aber mit V9 genauso funktionieren):
        
    Nicht wundern, bei der VPN-ID kommt tatsächlich eine sog. APIPA-Adesse rein (169.254.x.x).

    Dann eine FritzVPN-Config-Datei (z.B. vpn.cfg) erstellen mit einem Texteditor der Wahl (z.B. PSPad oder Notepad++):
    vpncfg {
         connections {
                 enabled = yes;
                 conn_type = conntype_lan;
                 name = "Name wie er in der FritzBox erscheinen soll";
                 always_renew = no;
                 reject_not_encrypted = no;
                 dont_filter_netbios = yes;
                 localip = 0.0.0.0;
                 local_virtualip = 0.0.0.0;
                 remoteip = x.x.x.x;                 //Feste IP der UTM
                 remote_virtualip = 0.0.0.0;
                 localid {
                         ipaddr =  169.254.1.100;        // APIPA-IP-Adresse, hie die gleiche nehmen wie in der UTM beim Remote Gateway konfiguriert
                 }
                 remoteid {
                         ipaddr = x.x.x.x;                  //Feste IP der UTM
                 }
                 mode = phase1_mode_idp;
                 phase1ss = "alt/all-no-aes/all";
                 keytype = connkeytype_pre_shared;
                 key = "hier irgendwas kompliziertes und geheimes";      //Hier muss der Preshared Key rein, wie auf der UTM im Remote Gateway eingetragen
                 cert_do_server_auth = no;
                 use_nat_t = no;
                 use_xauth = no;
                 use_cfgmode = no;
                 phase2localid {
                         ipnet {
                                 ipaddr = 192.168.0.0;                 //Internes Netz der FritzBox
                                 mask = 255.255.255.0;
                         }
                 }
                 phase2remoteid {
                         ipnet {
                                 ipaddr = 192.168.10.0;           // Inernal Netwok der UTM
                                 mask = 255.255.255.0;
                         }
                 }            
                 phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
                 accesslist = "permit ip any 192.168.10.0 255.255.255.0";      // Hier nochmal den Zugriff aus dem UTM-Internal-Netz erlauben
         }
         ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                             "udp 0.0.0.0:4500 0.0.0.0:4500";
    }

    Vor dem Hochladen in die FritzBox unbedingt die Kommentare ("//...") rauslöschen!
    Wenn die FritzBox die Datei nicht annimmt, muss evtl. der Zeilenumbruch von "Windows" (CR+LF) auf "Linux" (LF) geändert werden. Ein ordentlicher Texteditor kann das. Ansonsten die Syntax genau prüfen, meist fehlt dann irgendwo eine schließende Klammer oder ein Semikolon.

    Danach kann die cfg-Datei in der FritzBox importiert werden. Spätestens beim ersten Zugriffsversuch aus dem FritzBox-Netz ins UTM-Netz sollte die Verbindung dann aufgebaut werden...

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • Vielen vielen Dank!!! 

    Es läuft!! Und was das beste ist, es läuft auch mit beidseitigem DynDNS. 
    Der Ausschlaggebende Hinweis, war die APIPA-Adesse (169.254.x.x), sowol in der Firitz Konfig als auch in der Gateway Konfig der Astaro.
    Für Leidensgenossen hier meine lauffähige Konfig der Fritzbox:


    vpncfg {
         connections {
                 enabled = yes;
                 conn_type = conntype_lan;
                 name = "FW01 Sophos";
                 always_renew = no;
                 reject_not_encrypted = no;
                 dont_filter_netbios = yes;
                 localip = 0.0.0.0;
                 local_virtualip = 0.0.0.0;
                 remoteip = 0.0.0.0;                
                 remote_virtualip = 0.0.0.0;
     remotehostname = "utm.homelinux.net";    //DynDNS der UTM
                 localid {
                         ipaddr =  169.254.1.100;  // APIPA-IP-Adresse, hie die gleiche nehmen wie in der UTM beim Remote Gateway konfiguriert
                 }
                 remoteid {
    fqdn = "utm.homelinux.net";
                 }
                 mode = phase1_mode_idp;
                 phase1ss = "alt/all-no-aes/all";
                 keytype = connkeytype_pre_shared;
                 key = "geheim";  
                 cert_do_server_auth = no;
                 use_nat_t = no;
                 use_xauth = no;
                 use_cfgmode = no;
                 phase2localid {
                         ipnet {
                                 ipaddr = 172.30.0.0;
                                 mask = 255.255.0.0;
                         }
                 }
                 phase2remoteid {
                         ipnet {
                                 ipaddr = 192.168.0.0;
                                 mask = 255.255.255.0;
                         }
                 }            
                 phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
                 accesslist = "permit ip any 192.168.0.0 255.255.255.0";
         }
         ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                             "udp 0.0.0.0:4500 0.0.0.0:4500";
    }
  • Es läuft!! Und was das beste ist, es läuft auch mit beidseitigem DynDNS.

    Sicher, dass das auch noch nach einem Reconnect der UTM funktioniert?
    Die nimmt nämlich bei IPSec mit PSK als eigene VPN-ID m.M.n. immer ihre öffentliche IP-Adresse, was dann spätestens nach einem Reconnect zum Problem wird...

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • Ich werde einfach mal ein bisschen Warten und schaun was passiert[;)] Bisher läuft es. Ich habe das Gefühl das nur die Fritzbox den Tunnel aufbauen kann. Aber das ist erst mal kein Problem.
  • FormerMember
    0 FormerMember in reply to taipan1005
    Vielen vielen Dank!!! 

    Es läuft!! Und was das beste ist, es läuft auch mit beidseitigem DynDNS. 
    Der Ausschlaggebende Hinweis, war die APIPA-Adesse (169.254.x.x), sowol in der Firitz Konfig als auch in der Gateway Konfig der Astaro.
    Für Leidensgenossen hier meine lauffähige Konfig der Fritzbox:


    vpncfg {
         connections {
                 enabled = yes;
                 conn_type = conntype_lan;
                 name = "FW01 Sophos";
                 always_renew = no;
                 reject_not_encrypted = no;
                 dont_filter_netbios = yes;
                 localip = 0.0.0.0;
                 local_virtualip = 0.0.0.0;
                 remoteip = 0.0.0.0;                
                 remote_virtualip = 0.0.0.0;
     remotehostname = "utm.homelinux.net";    //DynDNS der UTM
                 localid {
                         ipaddr =  169.254.1.100;  // APIPA-IP-Adresse, hie die gleiche nehmen wie in der UTM beim Remote Gateway konfiguriert
                 }
                 remoteid {
    fqdn = "utm.homelinux.net";
                 }
                 mode = phase1_mode_idp;
                 phase1ss = "alt/all-no-aes/all";
                 keytype = connkeytype_pre_shared;
                 key = "geheim";  
                 cert_do_server_auth = no;
                 use_nat_t = no;
                 use_xauth = no;
                 use_cfgmode = no;
                 phase2localid {
                         ipnet {
                                 ipaddr = 172.30.0.0;
                                 mask = 255.255.0.0;
                         }
                 }
                 phase2remoteid {
                         ipnet {
                                 ipaddr = 192.168.0.0;
                                 mask = 255.255.255.0;
                         }
                 }            
                 phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
                 accesslist = "permit ip any 192.168.0.0 255.255.255.0";
         }
         ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                             "udp 0.0.0.0:4500 0.0.0.0:4500";
    }


    Hallo taipan1005,

    ich bin auch schon seit Stunden dabei, meine Astaro UTM 9 mit der Fritzbox 7270 meiner Eltern per VPN zu verbinden.

    Ich habe deine Config soweit mal übernommen, jedoch klappt es bei mir nicht. Es baut sich einfach kein Tunnel auf. Muss ich noch etwas spezielles beachten?

    Würde mich über eine Antwort freuen :-)

    Grüße
    Pheon

    EDIT: Problem gelöst. Scheinbar kann nur die Fritzbox den VPN-Tunnel initiieren. Ich musste das Gateway in der Astaro auf "Nur antworten" stellen. Danach funktioniert es. Nun gibts nur noch ein Problem: Wenn der VPN getrennt wird, wird der Tunnel erst wieder aufgebaut, wenn auf der Seite der Fritzbox jemand einen Ping in Richtung Astaro absetzt. Trotz der Config-Option "always_renew = yes". Gibt es dazu einen Workaround?
Reply
  • FormerMember
    0 FormerMember in reply to taipan1005
    Vielen vielen Dank!!! 

    Es läuft!! Und was das beste ist, es läuft auch mit beidseitigem DynDNS. 
    Der Ausschlaggebende Hinweis, war die APIPA-Adesse (169.254.x.x), sowol in der Firitz Konfig als auch in der Gateway Konfig der Astaro.
    Für Leidensgenossen hier meine lauffähige Konfig der Fritzbox:


    vpncfg {
         connections {
                 enabled = yes;
                 conn_type = conntype_lan;
                 name = "FW01 Sophos";
                 always_renew = no;
                 reject_not_encrypted = no;
                 dont_filter_netbios = yes;
                 localip = 0.0.0.0;
                 local_virtualip = 0.0.0.0;
                 remoteip = 0.0.0.0;                
                 remote_virtualip = 0.0.0.0;
     remotehostname = "utm.homelinux.net";    //DynDNS der UTM
                 localid {
                         ipaddr =  169.254.1.100;  // APIPA-IP-Adresse, hie die gleiche nehmen wie in der UTM beim Remote Gateway konfiguriert
                 }
                 remoteid {
    fqdn = "utm.homelinux.net";
                 }
                 mode = phase1_mode_idp;
                 phase1ss = "alt/all-no-aes/all";
                 keytype = connkeytype_pre_shared;
                 key = "geheim";  
                 cert_do_server_auth = no;
                 use_nat_t = no;
                 use_xauth = no;
                 use_cfgmode = no;
                 phase2localid {
                         ipnet {
                                 ipaddr = 172.30.0.0;
                                 mask = 255.255.0.0;
                         }
                 }
                 phase2remoteid {
                         ipnet {
                                 ipaddr = 192.168.0.0;
                                 mask = 255.255.255.0;
                         }
                 }            
                 phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
                 accesslist = "permit ip any 192.168.0.0 255.255.255.0";
         }
         ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                             "udp 0.0.0.0:4500 0.0.0.0:4500";
    }


    Hallo taipan1005,

    ich bin auch schon seit Stunden dabei, meine Astaro UTM 9 mit der Fritzbox 7270 meiner Eltern per VPN zu verbinden.

    Ich habe deine Config soweit mal übernommen, jedoch klappt es bei mir nicht. Es baut sich einfach kein Tunnel auf. Muss ich noch etwas spezielles beachten?

    Würde mich über eine Antwort freuen :-)

    Grüße
    Pheon

    EDIT: Problem gelöst. Scheinbar kann nur die Fritzbox den VPN-Tunnel initiieren. Ich musste das Gateway in der Astaro auf "Nur antworten" stellen. Danach funktioniert es. Nun gibts nur noch ein Problem: Wenn der VPN getrennt wird, wird der Tunnel erst wieder aufgebaut, wenn auf der Seite der Fritzbox jemand einen Ping in Richtung Astaro absetzt. Trotz der Config-Option "always_renew = yes". Gibt es dazu einen Workaround?
Children
No Data