Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Site-to-Site VPN mit Cisco RV320 und AVM

Frage Netzwerke

Mitglied: quirmi

quirmi (Level 1) - Jetzt verbinden

28.05.2014, aktualisiert 28.04.2015, 3974 Aufrufe, 8 Kommentare, 2 Danke

Hallo liebe Admins!

ich habe momentan folgendes Szenario:

Drei Standorte sind mit drei Fritzboxen (2x3370, 1x3270) via VPN (Site-to-Site)miteinander verbunden.

Nun habe ich in der Zentrale eine CompanyConnect Leitung der Telekom mit 10MBit bestellt und möchte den internen datenverkehr darüber laufen lassen.

D.h. in der Zentrale bleibt die Fritzbox für den Internetzugang bestehen und die CoCo soll für den internen Verkehr benutzt werden.
An der CoCo ist ein Cisco RV320 Router installiert.

Ich möchte nun den Cisco RV320 mit den beiden Fritzboxen in den anderen Filialen per Site-to-Site mit IPSec verbinden.

Doch irgendwie bekomme ich das nicht hin.
Die Firmware auf allen Routern ist aktuell, sie verfügen alle über feste IP Adressen und die Beispiele und Konfigurationen auf der AVM Seite (Verbinung mit Watchguard, Cisco Pix, Bintec, etc.) haben mir leider nicht weitergeholfen.

Die Fritzbox versucht sich auf den Cisco zu verbinden, bekommt aber eine Fehlermeldung (Timeout).
Im Log File des Cisco Routers sehe ich eine akzeptierte eingehende Verbindung auf UDP Port 500, aber weiter passiert nichts.

Hat von euch vielleicht jemand Erfahrung damit und kann mir den entscheidenden Hinweis geben?

Besten Dank schon mal im Voraus und Grüße
Quirmi
Mitglied: aqui
LÖSUNG 28.05.2014, aktualisiert um 12:15 Uhr
Grundlagen zu IPsec VPN Kopplungen mit Hersteller übergreifenden Geräten findest du in diesem Tutorial:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Essentiell wichtig sind hier die Phase 1 und Phase 2 Profiles was Verschlüsselung SHA, MD5 etc. anbetrifft. Die müssen zwingend auf beiden Seiten identisch sein sonst kommt es zum Abbruch.
AVM supportet lediglich AES 256, Hash Algorithm SHA1, DH Keygroup 2. (Die DH Keygroup 2 definiert AVM mit "alt" !!)
Diese Parameter müssen also genau so auch in der RV-320 so festgelegt werden !!
Bei Hersteller übergreifendem IPsec ist es sinnvoll immer den "Agressive" Mode zu verwenden !
Sehr sinnvol wäre es wenn du einen Log oder Syslog Auszug posten könntest der die Meldungen des Verbindungsaufbaus hier zeigt.
Wichtig: Der RV 320 ist KEIN Router mit integriertem Modem !!
Es stellt sich also hier die Frage WIE dieser Router mit seinem WAN Port am Internet hängt ?? Hast du das mit einer Router Kaskade gemacht, sprich also einem vorgeschaltetem Router, dann musst du dort zwingend ein Port Forwarding folgender Ports des vorgeschalteten Routers auf die WAN IP des RV-320 Routers einrichten:
UDP 500
UDP 4500
ESP Protokoll
Passiert das nicht, kann der IPsec Verbindungsversuch die NAT Firewall des vorgelagerten Routers nicht überwinden und eine VPN Verbindung scheitert schon per se ! Das siehst du daran das im Log schon ein sofortiger Abbruch in der Phase 1 passiert !
Ist ein simples reines, passives Modem davor entfällt das natürlich. Kläre also auch bitte diesen technischen Sachverhalt vorher !
Bitte warten ..
Mitglied: quirmi
28.05.2014 um 12:23 Uhr
Hallo aqui und vielen Dank für dein schnelles Feedback!

Ich habe mit dem Provider gesprochen...der vorgeschaltete Router leitet alle Anfragen an meinen Cisco RV320 weiter.
Die VPN Konfiguration des Cisco RV320 habe ich jetzt nach deinen Angaben angepasst.

Phase 1 und Phase 2:
DH Group 2
Encryption AES256
Authentication SHA1
Lifetime 3600

Aggressiv Mode True
Keep-Alive True

Anbei die cfg Datei der Fritzbox:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "VPN_NAME";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 217.6.XXX.XXX; feste IP Cisco Zentrale
remote_virtualip = 0.0.0.0;
localid {
ipaddr = 87.139.XXX.XXX;
feste IP FritzBox Filiale 1
}
remoteid {
ipaddr = 217.6.XXX.XXX; feste IP Cisco Zentrale
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "f08XXX";
Key
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.100.0; NETZ Filiale 1
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.2.0;
Nezt Zentrale
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.2.0 255.255.255.0"; //lokale Netz Zentrale
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

Dort liegt bestimmt der Fehler in Bezug auf deinen Kommentar "Die DH Keygroup 2 definiert AVM mit "alt"".

Danke und Grüße
Quirmi
Bitte warten ..
Mitglied: aqui
28.05.2014 um 16:07 Uhr
Ich habe mit dem Provider gesprochen...der vorgeschaltete Router leitet alle Anfragen an meinen Cisco RV320 weiter.
Das ist natürlich Blödsinn, denn diese Frage kann dir niemals dein Provider beantworten sofern DU diesen vorgeschalteten Router betreust ?! Das richtige Port Forwarding ist dann deine Aufgabe !
Es sei denn....
Das ist ein Zwangsrouter vom Provider, dann ist das natürlich anders, denn auf den hast du ja keinen Zugriff um das zu verifizieren und kannst dem Provider dann nur blind vertrauen.
Trotzdem solltest du da mal einen Wireshark reinklemmen und checken ob das stimmt was er sagt !! Da dort of tauch nur Honks an der Hotline sitzen gilt: "Vetrauen ist gut, Kontrolle ist besser" !
Zu dem DS-Lite Thema hat er nix gesagt ???

Gut, da der Thread ja von dir jetzt auf "Gelöst" gesetzt ist gehen wir mal davon aus das es jetzt rennt ??!!
Bitte warten ..
Mitglied: quirmi
28.05.2014 um 16:27 Uhr
Ja, der Router ist ein Zwangsrouter vom Provider (Standleitung der Telekom).
Nein, gelöst ist das Thema noch nicht...kannst du dir vielleicht mal die Fritzbox Konfig anschauen?

Vielleicht liegt ja dort der Fehler.

Vielen Dank nochmals
Quirmi
Bitte warten ..
Mitglied: aqui
28.05.2014, aktualisiert um 16:42 Uhr
Nein, gelöst ist das Thema noch nicht...
Warum setzt du es dann auf "Gelöst" ??

Hilfreich für alle hier wäre ein detailierter Log Auszug vom Cisco und vom AVM.
Bitte warten ..
Mitglied: quirmi
28.05.2014 um 16:41 Uhr
kleines verseehen... ;)
Bitte warten ..
Mitglied: aqui
LÖSUNG 28.05.2014, aktualisiert 28.04.2015
....was du als TO immer wieder rückgängig machen kannst !

Wie gesagt ein detailierter Log Auszug von beiden Seiten beim IPsec Verbindungsaufbau würde uns das Troubleshooten erheblich erleichtern.
Bitte warten ..
Mitglied: quirmi
28.04.2015 um 13:27 Uhr
Ist zwar schon etwas länger her, aber hier zur Vollständigkeit die Lösung für das VPN zwischen RV320 und Fritzbox.


Konfig Datei Fritz Box:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "CiscoRV320";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 10.10.10.1; (externe IP RV320)
remote_virtualip = 0.0.0.0;
localid {
ipaddr = 10.5.5.1; (externe IP FritzBox)
}
remoteid {
ipaddr = 10.10.10.1; (externe IP RV320)
}
mode = phase1_mode_aggressive;
phase1ss = "alt/aes/sha";
keytype = connkeytype_pre_shared;
key = "sichersPasswort";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.3.0; (internes Netz FritzBox)
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.2.0; (internes Netz RV320)
mask = 255.255.255.0;
}
}
phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
accesslist = "permit ip any 192.168.2.0 255.255.255.0",
"permit icmp any 192.168.2.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF




Beim RV320 Konfiguriert man einen Tunnel mit folgenden Einstellungen:

IPSec Phase 1:

Group 2
AES-256
SHA1
PFS

Phase 2:
Group2
3DES
SHA1

Aggressive Mode


Beste Grüße
Quirmi
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Router & Routing
Site to Site VPN zwischen Sonicwall und Fritzbox (5)

Frage von Kiste zum Thema Router & Routing ...

Linux Netzwerk
Host-to-Site VPN zwischen Openswan und Fritzboxen (2)

Frage von ThePcSwagTogether zum Thema Linux Netzwerk ...

LAN, WAN, Wireless
gelöst Site-to-Site VPN mit LTE Router Teltonika RTU950 und Fritzbox 7390 (10)

Frage von flavourflo zum Thema LAN, WAN, Wireless ...

Router & Routing
Lancom Site to Site VPN mit VLANs (2)

Frage von geforce28 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...