malerius
Feb 25, 2013, updated at 14:07:22 (UTC)
view5826
view4
1
Goto Top

VPN zwischen Fritzbox 7390 und Netgear FVS336GV2 keine Verbindung

GermanQuestionNetworks
Hallo,

wir haben in unserem Unternehmen einen Hauptstandort mit einem Netgear FVS336GV2 im Einsatz. Mehrere Außenstellen sind über VPN mit gleichem Netgearrouter angebunden. Nun sind zwei Standorte dazugekommen, welche jeweils mit einer Fritzbox 7390 als Router ausgestattet sind.

Wir versuchen nun schon seit Wochen die Fritzboxen über eine Site2Site VPN Verbindung mit dem Netgear zu verbinden. Wir haben schon die verschiedensten Einstellungen durchprobiert und getestet, bekommen aber absolut keine Verbindung zustande. Im Wesentlichen basierten unsere Test auf die Anleitung unter folgendem Link.

Unsere aktuelle Config der Fritzbox ist folgende:


vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Con7";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "<WAN-IP Netgear>";
localid {
fqdn = "<dyndns Fritzbox>";
}
remoteid {
fqdn = "<WAN-IP Netgear>";
}
mode = phase1_mode_aggressive;
phase1ss = "alt/aes-3des/sha";
keytype = connkeytype_pre_shared;
key = "<PSK>";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 10.140.6.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.6.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF


Unsere aktuele VPN-Konfiguraiion auf dem Netgear sieht wie folgt aus:

69333fa9792964069b56dc9556d41a1c

3bffb06c157eceeab637499530408d5b


Bei der aktuellen Konfiguration wird im VPN-LOG auf dem Netgear folgender LOG generiert:


2013 Feb 13 15:24:06 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP <WAN IP Fritzbox>-><WAN IP Netgear> _
2013 Feb 13 15:23:36 [FVS336GV2_NOR] [IKE] NAT-Traversal is Enabled_
2013 Feb 13 15:23:35 [FVS336GV2_NOR] [IKE] Beginning Aggressive mode._
2013 Feb 13 15:23:35 [FVS336GV2_NOR] [IKE] Initiating new phase 1 negotiation: <WAN IP Netgear>[500]<=><WAN IP Fritzbox>[500]_
2013 Feb 13 15:23:35 [FVS336GV2_NOR] [IKE] remote configuration for identifier "<DYNDNS-Name Fritzbox>" found_
2013 Feb 13 15:23:35 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_
2013 Feb 13 15:23:24 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP 79.242.180.178->213.209.123.114 _
2013 Feb 13 15:23:12 [FVS336GV2_NOR] [IKE] Phase 1 negotiation failed due to time up for 7<WAN IP Fritzbox>[500]. 5835381fd53301bc:0000000000000000_
2013 Feb 13 15:22:53 [FVS336GV2_NOR] [IKE] remote configuration for identifier "<DYNDNS-Name Fritzbox>" found_
2013 Feb 13 15:22:53 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_
2013 Feb 13 15:22:42 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP <WAN IP Fritzbox>-><WAN IP Netgear> _
2013 Feb 13 15:22:12 [FVS336GV2_NOR] [IKE] Setting DPD Vendor ID_
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] NAT-Traversal is Enabled_
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] Beginning Aggressive mode._
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] Initiating new phase 1 negotiation: <WAN IP Netgear>[500]<=><WAN IP Fritzbox>[500]_
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] remote configuration for identifier "<DYNDNS-Name Fritzbox>" found_
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_
2013 Feb 13 15:21:59 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP 79.242.180.178->213.209.123.114 _
2013 Feb 13 15:21:45 [FVS336GV2_NOR] [IKE] Phase 1 negotiation failed due to time up for <WAN IP Fritzbox>[500]. 4e6b6e4588cdc93b:0000000000000000_
2013 Feb 13 15:21:28 [FVS336GV2_NOR] [IKE] remote configuration for identifier "<DYNDNS-Name Fritzbox>" found_
2013 Feb 13 15:21:28 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_
2013 Feb 13 15:21:16 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP <WAN IP Fritzbox>-><WAN IP Netgear> _
2013 Feb 13 15:20:45 [FVS336GV2_NOR] [IKE] Setting DPD Vendor ID_
2013 Feb 13 15:20:45 [FVS336GV2_NOR] [IKE] NAT-Traversal is Enabled_
2013 Feb 13 15:20:45 [FVS336GV2_NOR] [IKE] Beginning Aggressive mode._
2013 Feb 13 15:20:45 [FVS336GV2_NOR] [IKE] Initiating new phase 1 negotiation: <WAN IP Netgear>[500]<=><WAN IP Fritzbox>[500]_


Wie schon gesagt, wir haben schon viele viele Einstellungen probiert (Verschiedene Verlüsselungsalgorithmen in Phase1 und Phase2 ..., Main Mode -> Aggrissive Mode ..). Aber es scheitert immer wieder am Aufbau der Verbindung.

Wir wären für jede Hilfe sehr sehr Dankbar. Vielen Dank im Voraus.


Gruß Malerius
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 202332

Url: https://administrator.de/contentid/202332

Printed on: April 25, 2024 at 05:04 o'clock

4 Comments
Latest comment
Goto Top
Member: goscho
goscho Feb 25, 2013 updated at 14:44:04 (UTC)
Goto Top
Hi Malerius,
die Einstellungen deiner FB-Config könntest du mal anpassen.

Das FVS-Netz hat eine feste öffentliche IP und das FB-Netz eine dynamische, ja?


In deiner Konfiguration ist keine Remote IP (WAN-IP des FVS) eingetragen:
remoteip = 0.0.0.0;

Anstelle dieser Einstellungen:
phase1ss = "alt/aes-3des/sha"
Teste bitte:
phase1ss = "all/all/all

phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
Teste mal diese:
phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs"

PS: Ich habe/hatte diverse VPNs zwischen FVS336G und Fritzboxen (7170/7270) laufen. Diese sind sehr stabil. Die FB-Netze haben dynamische IPs, die FVS-Netze zumeist feste öffentliche.

Edit: Ich habe die SA-Lifetime in der IKE- und der VPN-Policy auf dem Netgear auf 3600 sec gestellt.
Member: Malerius
Malerius Feb 25, 2013 at 15:17:59 (UTC)
Goto Top
Hallo Goscho,

erst einmal vielen Dank für die schnelle Antwort / Hilfe. Wir haben die Config entsprechend angepasst. Bei der Internetverbinudng des Netgears handelt es sich um eine statische öffentliche Adresse ja. Aktuell sieht sie so aus:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Con7";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = <WAN-IP Netgear>;
remote_virtualip = 0.0.0.0;
localid {
fqdn = "<DYNDNS Fritzbox>";
}
remoteid {
ipaddr = <WAN-IP Netgear>;
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "PSK";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 10.140.6.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.6.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.6.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF


Die Lifetime haben wir beim Netgear in der IKE-Policy auch angepast.

Leider funktioniert der Verbindungsaufbau immer noch nicht.

Aktuell wird im VPNLog des Netgears folgendes gezeigt:

2013 Feb 25 15:02:49 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP <WANIP Fritzbox>-><WANIP Netgear> _
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] Sending Informational Exchange: notify payload[INVALID-HASH-INFORMATION]_
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] HASH mismatched_
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] DPD is Enabled_
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] Received Vendor ID: DPD_
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] Received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] Setting DPD Vendor ID_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] NAT-Traversal is Enabled_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] Beginning Aggressive mode._
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] Initiating new phase 1 negotiation: <WANIP Netgear>[500]<=><WANIP Fritzbox>[500]_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] remote configuration for identifier "DYNDNS Fritzbox" found_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_

Vielen Dank im Voraus.

Gruß Malerius
Member: goscho
goscho Feb 25, 2013 at 15:33:14 (UTC)
Goto Top
Hi
use_nat_t = yes;
mal auf "no" stellen -> Wieso muss dort genattet werden?

phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs"
bitte zumindest testweise auf folgendes stellen:

phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs"

An den Netgear Policies hast du außer der SA-Lifetime nichts verändert?
Member: Malerius
Malerius Feb 26, 2013 at 09:13:37 (UTC)
Goto Top
Guten Morgen Goscho,

vielen Dank noch einmal für die Antwort. Wir kamen erst heute Morgen wieder dazu die Einstellungen zu testen. Dank deiner Tips funktioniert die Verbindung nun face-smile

Allerdings ging es nicht sofort. Der Trick war zum Schluss noch den PSK auf ein weniger komplexen Schlüssel zu ändern. Danach konnte die Verbindung erfolgreich aufgebaut werden.

Vielen vielen Dank für die schnelle und kompetente Hilfe.


Gruß Malerius
GermanQuestionNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments