Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG 8.103 IPsec-VPN Fritzbox 7270 geht/geht nicht

Hallo,

ich möchte meine ASG 8.103 mit einer Fritzbox 7270 über einen Site-to-Site IPSec-VPN verbinden.
Hierbei hat die ASG eine fester IP-Adresse und die Fritzbox eine Dyn.IP-Adresse, diese über einen
dyndns-Namen aufgelöst werden kann. Das Ganze funktioniert auch soweit, bis die IP-Adresse der
Fritzbox durch eine DSL-Zwangstrennung geändert wird. Es dauert ca. 2-3 Minuten danach wird
der VPN-Tunnel mit der neuen IP-Adresse aufgebaut. Bis hier scheint alles ohne Probleme abzulaufen,
Pakete werden durch den Tunnel geschickt, das ist über tcpdump auf der Console zu beobachten,
folgendes wird geloggt:

 = IP-Adresse hinter der Fritzbox
 = IP-Adresse hinter der ASG

# tcpdump -i eth0 -n host 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
03:04:08.874090 IP .1266 > .: S 2822439769:2822439769(0) win 5840 
03:04:08.874559 IP . > .1266: S 817408142:817408142(0) ack 2822439770 win 5792 
03:04:09.609251 IP . > .1262: S 795099107:795099107(0) ack 2801948320 win 5792 
03:04:09.786480 IP . > .1266: S 817408142:817408142(0) ack 2822439770 win 5792 
03:04:11.032938 IP . > .1246: S 732740647:732740647(0) ack 2732157593 win 5792 


Die Pakete kommen aber am Ziel nicht an, sie werden wohl durch den Paketfilter geblockt:

 = ASG feste IP-Adresse
 = Fritzbox dyn.IP-Adresse

02:57:07 Default DROP 51  →  len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:07 Default DROP 51  →  len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:08 Default DROP 51  →  len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:08 Default DROP 51  →  len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:08 Default DROP 51  →  len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:08 Default DROP 51  →  len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:08 Default DROP 51  →  len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:09 Default DROP 51  →  len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:11 Default DROP 51  →  len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:13 Default DROP 51  →  len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:14 Default DROP 51  →  len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:15 Default DROP 51  →  len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:16 Default DROP 51  →  len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:16 Default DROP 51  →  len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5
02:57:16 Default DROP 51  →  len=144 ttl=64 tos=0x00 srcmac=0:c:21:3d:22:a5


Im iptables wird die aktuelle IP-Adresse der Fritzbox eingetragen.

# iptables-save |grep 
-A AUTO_INPUT -s /32 -d /32 -i eth3 -p esp -m esp --espspi 256:4294967295 -j CONFIRMED 
-A AUTO_INPUT -s /32 -d /32 -i eth3 -p ip -m policy --dir in --pol ipsec --mode transport -j CONFIRMED 
-A AUTO_INPUT -s /32 -d /32 -i eth3 -p udp -m udp --sport 1:65535 --dport 500 -j CONFIRMED 
-A AUTO_OUTPUT -s /32 -d /32 -o eth3 -p esp -m esp --espspi 256:4294967295 -j CONFIRMED 
-A AUTO_OUTPUT -s /32 -d /32 -o eth3 -p udp -m udp --sport 500 --dport 1:65535 -j CONFIRMED


Der Tunnel wird von der ASG initialisiert und hat folgende Einstellungen:

Richtlinien:
Compression off, not using strict policy.
IKE Settings: 3DES / SHA1 / Group 2: MODP 1024   Lifetime: 7800 seconds
IPSec Settings: 3DES / SHA1 / Group 2: MODP 1024   Lifetime: 3600 seconds

Entferntes Gateway:
VPN ID is IP Address [169.254.1.100], authenticated via Preshared key.

Jetzt wird es interessant, aktiviert man unter Site-to-Site-VPN=>IPSec=>Verbindungen
das "Striktes Routing" in der entsprechenden VPN-Verbindung und speichert diese ab,
funktioniert es ebenfalls nicht. Deaktiviert man aber das "Striktes Routing" wieder, werden
die Pakete korrekt weitergeleitet und alles funktioniert bis es wieder zum IP-Wechsel
kommt.

Das Problem scheint wohl an der ASG zu liegen.

Hat jemand einen Tip, wie ich das Problem lösen könnte?

Gruß
Andreas


This thread was automatically locked due to age.
  • Hallo Andreas,

    > "Default DROP 51  → "

    Versuch mal "Strict Routing" unter "Site-to-Site->IPSec->Verbindungen abgeschaltet zu lassen. Dann noch einen Paketfilter der externen Astaro IP zur externen IP der Fritzbox. Dabei als Zielnetzwerk "DNS-Rechner" mit dem dyndns-Namen.

    Ich hatte das Problem nur, wenn ich statisch geroutet habe und den Paketfilter nicht gesetzt hatte. 

    Gruß
    Gero

    P.S.: Schau mal hier: https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/54199
  • Hallo,

    wir haben derzeit das gleiche Problem es gibt hier ein Problem scheinbar mit ESP/ Port-50 und AH/ Port-51.

    Schau bitte mal in der Konfig der Fritzbox:

    so führt es manchmal zum fehler
    phase2ss = "esp-all-all/ah-all/comp-all/pfs";

    so geht es bisher ohne fehler
    phase2ss = "esp-all-all/ah-none/comp-all/pfs";

    Wenn du eine genauere Erkläung möchtest, warum das so ist. Gebe bitte bescheid ich kann es genauer hier beschreiben ist wohl nen Fehler in der Astaro.
  • Ist zwar schon älter, aber ich hätte da dennoch ein paar Hinweise zur FritzBox-Config...

    Bei
    phase1ss = "alt/all/all";

    und
    phase2ss = "esp-all-all/ah-all/comp-all/pfs";

    kann Astaro-seitig die Verschlüsselung so aussehen:
    IKE: Auth PSK / Enc AES_CBC_256 / Hash HMAC_SHA1 / Lifetime 3600s / PFS MODP_1024 / DPD
    

    IPSec: Enc AES_CBC_256 / Hash HMAC_SHA1 / Lifetime 3600s / COMPRESSED


    Zu beachten ist auf jeden Fall IMMER die Lifetime: die ist in der Fritzbox für BEIDE Phasen fest auf 3600 sec. verdrahtet!

    Nun aber zu meinem Problem:
    habe letztens die ASG220 von v7.5xx auf v8.201 upgedatet, meine Tunnel zu diversen Fritzboxen werden auch aufgebaut - laufen aber nicht mehr stabil...
    Die Fritzbox loggt in 2 - 15min.-Abständen einen Verbindungsabbruch wegen eines IKE-Fehlers.
    Was hat sich in der Astaro da geändert und wie bekomme ich die Tunnel wieder stabil? 
    Ich lasse auf einem der Tunnel ein kleines Script von einem Server hinter der Astaro laufen, das die Erreichbarkeit des Tunnels "misst": unter der v7.5 war der Tunnel max 3min./Tag offline (Zwangstrennung der Fritzbox), aktuell sind es immer mindestens 30min. wegen des Wobbelns...
    Macht keinen Spaß so. 
    Ideen?