Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN zwischen Fritzbox 7390 und Netgear FVS336GV2 keine Verbindung

Frage Netzwerke

Mitglied: Malerius

Malerius (Level 1) - Jetzt verbinden

25.02.2013, aktualisiert 15:07 Uhr, 4469 Aufrufe, 4 Kommentare, 1 Danke

Hallo,

wir haben in unserem Unternehmen einen Hauptstandort mit einem Netgear FVS336GV2 im Einsatz. Mehrere Außenstellen sind über VPN mit gleichem Netgearrouter angebunden. Nun sind zwei Standorte dazugekommen, welche jeweils mit einer Fritzbox 7390 als Router ausgestattet sind.

Wir versuchen nun schon seit Wochen die Fritzboxen über eine Site2Site VPN Verbindung mit dem Netgear zu verbinden. Wir haben schon die verschiedensten Einstellungen durchprobiert und getestet, bekommen aber absolut keine Verbindung zustande. Im Wesentlichen basierten unsere Test auf die Anleitung unter folgendem Link.

Unsere aktuelle Config der Fritzbox ist folgende:


vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Con7";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "<WAN-IP Netgear>";
localid {
fqdn = "<dyndns Fritzbox>";
}
remoteid {
fqdn = "<WAN-IP Netgear>";
}
mode = phase1_mode_aggressive;
phase1ss = "alt/aes-3des/sha";
keytype = connkeytype_pre_shared;
key = "<PSK>";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 10.140.6.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.6.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF



Unsere aktuele VPN-Konfiguraiion auf dem Netgear sieht wie folgt aus:

69333fa9792964069b56dc9556d41a1c - Klicke auf das Bild, um es zu vergrößern

3bffb06c157eceeab637499530408d5b - Klicke auf das Bild, um es zu vergrößern


Bei der aktuellen Konfiguration wird im VPN-LOG auf dem Netgear folgender LOG generiert:


2013 Feb 13 15:24:06 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP <WAN IP Fritzbox>-><WAN IP Netgear> _
2013 Feb 13 15:23:36 [FVS336GV2_NOR] [IKE] NAT-Traversal is Enabled_
2013 Feb 13 15:23:35 [FVS336GV2_NOR] [IKE] Beginning Aggressive mode._
2013 Feb 13 15:23:35 [FVS336GV2_NOR] [IKE] Initiating new phase 1 negotiation: <WAN IP Netgear>[500]<=><WAN IP Fritzbox>[500]_
2013 Feb 13 15:23:35 [FVS336GV2_NOR] [IKE] remote configuration for identifier "<DYNDNS-Name Fritzbox>" found_
2013 Feb 13 15:23:35 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_
2013 Feb 13 15:23:24 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP 79.242.180.178->213.209.123.114 _
2013 Feb 13 15:23:12 [FVS336GV2_NOR] [IKE] Phase 1 negotiation failed due to time up for 7<WAN IP Fritzbox>[500]. 5835381fd53301bc:0000000000000000_
2013 Feb 13 15:22:53 [FVS336GV2_NOR] [IKE] remote configuration for identifier "<DYNDNS-Name Fritzbox>" found_
2013 Feb 13 15:22:53 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_
2013 Feb 13 15:22:42 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP <WAN IP Fritzbox>-><WAN IP Netgear> _
2013 Feb 13 15:22:12 [FVS336GV2_NOR] [IKE] Setting DPD Vendor ID_
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] NAT-Traversal is Enabled_
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] Beginning Aggressive mode._
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] Initiating new phase 1 negotiation: <WAN IP Netgear>[500]<=><WAN IP Fritzbox>[500]_
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] remote configuration for identifier "<DYNDNS-Name Fritzbox>" found_
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_
2013 Feb 13 15:21:59 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP 79.242.180.178->213.209.123.114 _
2013 Feb 13 15:21:45 [FVS336GV2_NOR] [IKE] Phase 1 negotiation failed due to time up for <WAN IP Fritzbox>[500]. 4e6b6e4588cdc93b:0000000000000000_
2013 Feb 13 15:21:28 [FVS336GV2_NOR] [IKE] remote configuration for identifier "<DYNDNS-Name Fritzbox>" found_
2013 Feb 13 15:21:28 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_
2013 Feb 13 15:21:16 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP <WAN IP Fritzbox>-><WAN IP Netgear> _
2013 Feb 13 15:20:45 [FVS336GV2_NOR] [IKE] Setting DPD Vendor ID_
2013 Feb 13 15:20:45 [FVS336GV2_NOR] [IKE] NAT-Traversal is Enabled_
2013 Feb 13 15:20:45 [FVS336GV2_NOR] [IKE] Beginning Aggressive mode._
2013 Feb 13 15:20:45 [FVS336GV2_NOR] [IKE] Initiating new phase 1 negotiation: <WAN IP Netgear>[500]<=><WAN IP Fritzbox>[500]_



Wie schon gesagt, wir haben schon viele viele Einstellungen probiert (Verschiedene Verlüsselungsalgorithmen in Phase1 und Phase2 ..., Main Mode -> Aggrissive Mode ..). Aber es scheitert immer wieder am Aufbau der Verbindung.

Wir wären für jede Hilfe sehr sehr Dankbar. Vielen Dank im Voraus.


Gruß Malerius






Mitglied: goscho
25.02.2013, aktualisiert um 15:44 Uhr
Hi Malerius,
die Einstellungen deiner FB-Config könntest du mal anpassen.

Das FVS-Netz hat eine feste öffentliche IP und das FB-Netz eine dynamische, ja?


In deiner Konfiguration ist keine Remote IP (WAN-IP des FVS) eingetragen:
remoteip = 0.0.0.0;

Anstelle dieser Einstellungen:
phase1ss = "alt/aes-3des/sha"
Teste bitte:
phase1ss = "all/all/all

phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
Teste mal diese:
phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs"

PS: Ich habe/hatte diverse VPNs zwischen FVS336G und Fritzboxen (7170/7270) laufen. Diese sind sehr stabil. Die FB-Netze haben dynamische IPs, die FVS-Netze zumeist feste öffentliche.

Edit: Ich habe die SA-Lifetime in der IKE- und der VPN-Policy auf dem Netgear auf 3600 sec gestellt.
Bitte warten ..
Mitglied: Malerius
25.02.2013 um 16:17 Uhr
Hallo Goscho,

erst einmal vielen Dank für die schnelle Antwort / Hilfe. Wir haben die Config entsprechend angepasst. Bei der Internetverbinudng des Netgears handelt es sich um eine statische öffentliche Adresse ja. Aktuell sieht sie so aus:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Con7";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = <WAN-IP Netgear>;
remote_virtualip = 0.0.0.0;
localid {
fqdn = "<DYNDNS Fritzbox>";
}
remoteid {
ipaddr = <WAN-IP Netgear>;
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "PSK";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 10.140.6.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.6.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.6.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF


Die Lifetime haben wir beim Netgear in der IKE-Policy auch angepast.

Leider funktioniert der Verbindungsaufbau immer noch nicht.

Aktuell wird im VPNLog des Netgears folgendes gezeigt:

2013 Feb 25 15:02:49 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP <WANIP Fritzbox>-><WANIP Netgear> _
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] Sending Informational Exchange: notify payload[INVALID-HASH-INFORMATION]_
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] HASH mismatched_
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] DPD is Enabled_
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] Received Vendor ID: DPD_
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] Received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] Setting DPD Vendor ID_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] NAT-Traversal is Enabled_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] Beginning Aggressive mode._
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] Initiating new phase 1 negotiation: <WANIP Netgear>[500]<=><WANIP Fritzbox>[500]_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] remote configuration for identifier "DYNDNS Fritzbox" found_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_

Vielen Dank im Voraus.

Gruß Malerius
Bitte warten ..
Mitglied: goscho
25.02.2013 um 16:33 Uhr
Hi
use_nat_t = yes;
mal auf "no" stellen -> Wieso muss dort genattet werden?

phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs"
bitte zumindest testweise auf folgendes stellen:

phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs"

An den Netgear Policies hast du außer der SA-Lifetime nichts verändert?
Bitte warten ..
Mitglied: Malerius
26.02.2013 um 10:13 Uhr
Guten Morgen Goscho,

vielen Dank noch einmal für die Antwort. Wir kamen erst heute Morgen wieder dazu die Einstellungen zu testen. Dank deiner Tips funktioniert die Verbindung nun

Allerdings ging es nicht sofort. Der Trick war zum Schluss noch den PSK auf ein weniger komplexen Schlüssel zu ändern. Danach konnte die Verbindung erfolgreich aufgebaut werden.

Vielen vielen Dank für die schnelle und kompetente Hilfe.


Gruß Malerius
Bitte warten ..
Ähnliche Inhalte
Router & Routing
gelöst VPN: Verbindung von FritzBox (7390) über SSL zum Firmennetzwerk (Watchguard) (4)

Frage von rrobbyy zum Thema Router & Routing ...

Router & Routing
IPSEC VPN Netgear PS UTM 50 hinter Fritzbox (1)

Frage von wtwinni zum Thema Router & Routing ...

Router & Routing
FritzBox nach VPN-Verbindung nicht mehr erreichbar

Frage von Cometcola zum Thema Router & Routing ...

Router & Routing
gelöst Sophos UTM hinter Fritzbox 7390 (4)

Frage von eegg125 zum Thema Router & Routing ...

Neue Wissensbeiträge
Ubuntu

Ubuntu 17.10 steht zum Download bereit

(3)

Information von Frank zum Thema Ubuntu ...

Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(8)

Information von thomasreischer zum Thema Windows 10 ...

Microsoft

Die neuen RSAT-Tools für Win10 1709 sind da

(2)

Information von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
Windows 10
Seekrank bei Windows 10 (18)

Frage von zauberer123 zum Thema Windows 10 ...

Windows 10
Windows 10 Fall Creators Update Fehler (14)

Frage von ZeroCool23 zum Thema Windows 10 ...

Router & Routing
gelöst Getrenntes Routing bei VoIP und Daten (12)

Frage von Hobbystern zum Thema Router & Routing ...