Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Site to Site Fritzbox 6360 Cable (kbw) zu Sonicwall TZ300W

Mitglied: supertux

supertux (Level 1) - Jetzt verbinden

11.07.2018, aktualisiert 21:13 Uhr, 429 Aufrufe, 17 Kommentare

Hallo,

hat jemand einen Site to Site Tunnel von Fritzbox 6360 Cable zu einer Sonicwall TZ300W am laufen?

Ich habe schon mehrer Configs aus dem Forum getestet, aber es klappt kein Verbidungsaufbau.

Im Log der Sonicwall steht.

SENDING>>>> ISAKMP OAK AG (InitCookie:0xd726803b19417781 RespCookie:0x749694dcdd946733, MsgID: 0x0) *(SA, KE, NON, ID, VID, VID, VID, VID, HASH)
VPN VPN IKE Responder: Peer Timeout - RetransmittingStandard Note String

IKE Responder: Remote party Timeout - Retransmitting IKE Request.

VPN IKE Responder: Peer Timeout - RetransmittingStandard Note String

---
supertux
Mitglied: UnbekannterNR1
11.07.2018 um 10:12 Uhr
Also ich hab einen mit ner PFsense laufen. Funktionieren tut es auf jeden Fall. Habe die Anleitung aber leider gerade nicht parat.
Ich weiß aber noch das ich das nicht über die Konfig files gemacht habe, zumindest nicht in der letzten Ausbau stufe. Es ging dann auch mit dem integrierten Menü für das Fritz.box zu Fritz.box VPN.
Bitte warten ..
Mitglied: Pjordorf
11.07.2018 um 10:33 Uhr
Hallo,

Zitat von supertux:
Im Log der Sonicwall steht.
IKE Versionen passen? Die Fritte kann nur IKE Version 1https://wiki.securepoint.de/index.php/IPSec_-_Fritzbox_V11
IPs passen. Nicht das du versuchst einen Tunnel mit IPv4 zu einer IPv6 zu etablieren. Entweder haben beide seiten IPv6 oder beide seiten haben IPv4

Gruß,
Peter
Bitte warten ..
Mitglied: supertux
11.07.2018 um 13:23 Uhr
Ich denke es liegt an der LOCAL IKE ID und PEER IKE ID,

bei der Sonicwall kann ich hier IP4Adresse, Domain Name, E-Mail Adresse, Firewall Identifier, Key Identifier.
Die Frage was die Fritzbox unterstützt?

In den bisherigen Configs wird hier immer

localid {
fqdn = "xxxxxxxxxx.de";
}
remoteid {
fqdn = "xxxxxxxxxx.de";
}

oder statt fqdn

ipaddr = 192.168.0.1; //statische IP-Adresse
mask = 255.255.255.0;

Die Frage, wird hier die echte IP bzw. FQDN abgefragt oder muss nur auf beiden Seiten das gleiche drin stehen?

---
supertux
Bitte warten ..
Mitglied: aqui
11.07.2018 um 19:25 Uhr
Ist das jetzt gelöst oder warum hast du selber die Frage auf "Gelöst" gesetzt ??!
Bitte warten ..
Mitglied: supertux
11.07.2018 um 21:14 Uhr
Nein, das war ein Fehler von mir....
Bitte warten ..
Mitglied: aqui
12.07.2018 um 12:29 Uhr
oder muss nur auf beiden Seiten das gleiche drin stehen?
Nicht das gleiche.
Die localid muss auf dem remoten VPN Server als remoteID konfiguriert sein
die remoteID ist die ID die auf dem remoten VPN als localID definiert ist.
Ja, also mehr oder minder gleich aber quasi "über Kreuz" wenn du so willst.
Ist ja auch irgendwie logisch wenn man mal ein bischen nachdenkt
Bitte warten ..
Mitglied: supertux
12.07.2018 um 19:20 Uhr
Hallo,

so sehen meine Einstellungen aus.

01.
vpncfg { 
02.
        connections { 
03.
                enabled = yes; 
04.
                conn_type = conntype_lan; 
05.
                name = "VPN"; 
06.
                always_renew = no; 
07.
                reject_not_encrypted = no; 
08.
                dont_filter_netbios = yes; 
09.
                localip = 0.0.0.0; 
10.
                local_virtualip = 0.0.0.0; 
11.
                remoteip = meine_feste_ip; 
12.
                remote_virtualip = 0.0.0.0; 
13.
                remotehostname = "namedyndns.de; 
14.
                localid { 
15.
                        fqdn = "home.local"; 
16.
17.
                remoteid { 
18.
                        fqdn = "work.local"; 
19.
20.
                mode = phase1_mode_aggressive; 
21.
                phase1ss = "all/all/all"; 
22.
                keytype = connkeytype_pre_shared; 
23.
                key = "mein_key"; 
24.
                cert_do_server_auth = no; 
25.
                use_nat_t = no; 
26.
                use_xauth = no; 
27.
                use_cfgmode = no; 
28.
                phase2localid { 
29.
                        ipnet { 
30.
                                ipaddr = 10.0.0.0; 
31.
                                mask = 255.255.255.0; 
32.
33.
34.
                phase2remoteid { 
35.
                        ipnet { 
36.
                                ipaddr = 192.168.2.0; 
37.
                                mask = 255.255.255.0; 
38.
39.
40.
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs"; 
41.
                accesslist = "permit ip any 192.168.2.0 255.255.255.0"; 
42.
43.
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",  
44.
                            "udp 0.0.0.0:4500 0.0.0.0:4500"; 
45.
46.
 
47.
 
48.
// EOF
Sonicwall
sonicwallbild - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
13.07.2018, aktualisiert um 10:05 Uhr
NAT Traversal use_nat_t = no; solltest du besser auf yes setzen, dann da ist mit Sicherheit irgendwo NAT dazwischen.
.local Root Domains sind immer tödlich, da die von der IANA fest auf das mDNS Protokoll zugewiesen sind. Die sollte man niemals verwenden.
https://en.wikipedia.org/wiki/Multicast_DNS#Protocol_overview
Siehe auch:
https://www.heise.de/ct/ausgabe/2017-26-Interne-Domains-Auswahl-Einstell ...
Ansonsten sieht das gut aus.
Hier findest du noch Infos:
https://www.administrator.de/forum/site-to-site-vpn-zwischen-sonicwall-t ...
https://blog.kopfteam.de/site2site-vpn-zwischen-fritzbox-und-sonicwall/
https://www.sonicwall.com/en-us/support/knowledge-base/170503490076419
https://www.xing.com/communities/posts/site2site-ueber-ipsec-sonicwall-f ...
usw.
Funktionieren tut es also generell.
Bitte warten ..
Mitglied: supertux
13.07.2018 um 19:55 Uhr
Hallo,

ich habe das Problem gelöst, die Seite wo du geschrieben hast, habe ich mir auch schon angeschaut.
Habe mir auch zwei echte Dyndns angelgt, aber daran lag es auch nicht.

Habe nun mit einer Fritzbox 7272 und eine anderen Sonicwall getestet, nach 2 Minuten war die Verbindung da.
In der Config habe ich dann nur die fdqn auf auf die TZ300 und 6360 geändert und versucht,
kein Login....die Sonicwall meldete alle möglichen Fehler im Logfile.

Nachdem ich alle VPN und AdressObjekt entfernt habe, und manuell angelegt hat, hat es auch mit der geänderten
Config aus der 7272 in der 6360 funktioniert.

Das Problem lag als an der Sonicwall TZ300W in den VPN-Einstellungen, hier hat wohl der Wizard irgendwas verbockt.
Bitte warten ..
Mitglied: aqui
13.07.2018, aktualisiert um 21:17 Uhr
Deshalb sollte man eben nie solchen "blöden" Wizzards verwenden

Case closed !
Bitte dann auch
https://www.administrator.de/faq/32
nicht vergessen.
Bitte warten ..
Mitglied: supertux
13.07.2018 um 21:26 Uhr
Ist mir bei einem Lancom mit dem Wizard auch passiert
Bitte warten ..
Mitglied: aqui
14.07.2018 um 11:47 Uhr
Deshalb nimmt man ja auch anständige Router/Firewalls wo man den Wizzard abschalten kann
Bitte warten ..
Mitglied: supertux
15.07.2018 um 11:24 Uhr
Noch eine kurze Frage, warum ist mein Lifetime mit der Fritzbox zur Sonicwall nur eine Stunde gülitig?
Egal, wie ich an der Sonicwall die Lifetime ändere, es bleibt bei der Fritzbox immer 1 Stunde.

Wenn ich mich mit NCP anmelde, sehe ich jede Erhöhung der Lifetime...somit liegt es wohl nicht
an der Sonicwall sondern an der Fritzbox.

Die Einstellung im NCP habe ich so eingestellt, wie sie in der Fritzbox.cfg auch sind.


IKE Phase 1

DH-Group 2
Encryption: 3DES
Authentication: SHA1
Lifetime 14400

IPSEC Phase 2

Protocol: ESP
Encryption: 3DES
Authentication: SHA1
Lifetime 14400

Mit der Einstellung Lifetime 3600 habe ich auch mit NCP dann 1 Stunde.
Bitte warten ..
Mitglied: aqui
15.07.2018 um 14:43 Uhr
Die Lifetimes sollten an beiden Enden gleich sein, das ist richtig. Wenn sich das trotz beidseitig anderem Intervall nicht ändert ist das ein Bug.
Nebenbei sollte man KEINE 3DES Encryption mehr nutzen, denn die gilt als nicht mehr sicher. AES256 wäre hier die weit bessere Wahl.
Bitte warten ..
Mitglied: supertux
15.07.2018, aktualisiert um 19:11 Uhr
Ok, das scheint aber dein ein allgemeiner Fritzbox-Bug zu sein, der ist bei 6360 und 7272.

Hab eben die Sonicwall auf AES256 umgestellt, aber ich bekomme über die Fritzbox keine Verbindung mehr über AES-256.
Entweder kein Vebindungsaufbau oder die Fritzbox deaktiviert meine VPN-Verbindung.

Phase1:

phase1ss = "LT8h/all/all/all";

Phase 2 war bisher

phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs";

geändert in

phase2ss = "esp-aes256-sha/ah-no/comp-no/no-pfs";

Hier habe ich schon verschiedene Einstellung, die ich gefunden habe eingetragen, keine Verbindung mit AES-256 möglich.
Das Bild zeigt noch einen alten Screenshot ohne AES.
vpnaes - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
16.07.2018, aktualisiert um 09:13 Uhr
das scheint aber dein ein allgemeiner Fritzbox-Bug zu sein
Ich hab mit FritzBüxen zum Glück nix am Hut !!!

Was dein AES 256 anbetrifft musst du natürlich in der FritzBüx die richtigen Proposals eintragen:
https://blog.webernetz.net/fritzos-ab-06-23-ipsec-p2-proposals-erweitert ...
Das...
mode = phase1_mode_aggressive;
phase1ss = "dh14/aes/sha";
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";

sollte also klappen dann auf der FB. Sonic dann auf Group 14 umstellen.
Bitte warten ..
Mitglied: supertux
16.07.2018 um 21:25 Uhr
Danke, diese Daten hatte ich auch schon in der Config der Fritzbox hinterlegt, habe gestern mit
allen möglichen Einstellungen getestet und war schon am verzeifeln.

Nun hat es funktioniert mit DH14 und AES-256, es muss an der Fritzbox liegen wieso es nie funktioniert hat.
Es kommt mir so vor, als würde die Fritzbox wenn ich die Config einspiele und es zur Gegenstelle nicht
sofort zu einer Verbindung kommt, die Fritzbox die Einstellung verwirft.
Bitte warten ..
Ähnliche Inhalte
Router & Routing

FritzBox 6360 Cable hat Kennwort vergessen

Frage von Crusher79Router & Routing3 Kommentare

Hallo, bin etwas am verzweifeln. Gegen 12 Uhr wurde vom Provider Verbindung getrennt und wegen einiger Unstimmigkeiten - mitlerweile ...

Router & Routing

Site to Site VPN zwischen Sonicwall und Fritzbox

Frage von KisteRouter & Routing5 Kommentare

Hallo zusammen, ich versuche jetzt seit längerem einen dauerhafte VPN Verbindung zwischen einer Fritzbox 7490 mit (DynDns) und einer ...

Router & Routing

Site-to-Site VPN zwischen Sonicwall TZ 205 und Fritzbox 7580 Verbindungsabbruch

Frage von KisteRouter & Routing6 Kommentare

Hallo Kollegen, ich habe ein VPN zwischen einer Sonicwall TZ 205 und einer FB 7580 (FRITZ!OS 06.54) aufgebaut. Die ...

Netzwerkmanagement

VPN Verbindung FritzBox 6360 Dateifreigabe

Frage von ChinChillah1992Netzwerkmanagement

Schönen guten Morgen. Ich habe jetzt endlich mal nach 2 Wochen meine VPN Verbindung zu meiner Fritz Box herstellen ...

Neue Wissensbeiträge
Datenschutz

Die Datenkrake Google verlängert ihr Arme mal wieder ein wenig, automatische Anmeldung

Tipp von magicteddy vor 18 StundenDatenschutz2 Kommentare

Benutzer mit einem Google Account und gespeicherten Zugangsdaten werden von chrome 69 automatisch bei Google angemeldet, natürlich alles zum ...

Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 1 TagVerschlüsselung & Zertifikate3 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 3 TagenE-Mail11 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 3 TagenHyper-V1 Kommentar

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Heiß diskutierte Inhalte
Hardware
Sophos SG135 - Routing
gelöst Frage von Xaero1982Hardware22 Kommentare

Moin Zusammen, ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135. Ich muss bestimmte Ziele über ...

E-Mail
Welche ist die beste E-Mail Groupware für die Zukunft?
Frage von ITCrowdSupporterE-Mail18 Kommentare

Guten Tag allerseits :) Ich möchte mich mit einer Frage heute mal an die Schwarmintelligenz wenden. Aktuell befasse ich ...

Windows Server
In-Place Upgrade von Windows Server 2008 R2 Datacenter zu Windows Server 2016 Datacenter (Zwischenschritt über 2012 R2)
gelöst Frage von TowerpleaseWindows Server16 Kommentare

Hallo Administratoren, Wir haben uns vor ein paar Monaten Windows Server 2016 Datacenter Lizenzen gekauft und wollen nun unsere ...

Windows 7
Mit gpedit gesetzte Richtlinien in rsop.msc nicht definiert und ausgegraut
gelöst Frage von 137006Windows 715 Kommentare

Hallo zusammen, anfangs verweise ich fairerweise daruf dass ich dieses Thema bereits im Forum angeschnitten habe, nachdem ich hier ...