Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN zwischen Fritzbox 7390 und Netgear FVS336GV2 keine Verbindung

Frage Netzwerke

Mitglied: Malerius

Malerius (Level 1) - Jetzt verbinden

25.02.2013, aktualisiert 15:07 Uhr, 4201 Aufrufe, 4 Kommentare, 1 Danke

Hallo,

wir haben in unserem Unternehmen einen Hauptstandort mit einem Netgear FVS336GV2 im Einsatz. Mehrere Außenstellen sind über VPN mit gleichem Netgearrouter angebunden. Nun sind zwei Standorte dazugekommen, welche jeweils mit einer Fritzbox 7390 als Router ausgestattet sind.

Wir versuchen nun schon seit Wochen die Fritzboxen über eine Site2Site VPN Verbindung mit dem Netgear zu verbinden. Wir haben schon die verschiedensten Einstellungen durchprobiert und getestet, bekommen aber absolut keine Verbindung zustande. Im Wesentlichen basierten unsere Test auf die Anleitung unter folgendem Link.

Unsere aktuelle Config der Fritzbox ist folgende:


vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Con7";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "<WAN-IP Netgear>";
localid {
fqdn = "<dyndns Fritzbox>";
}
remoteid {
fqdn = "<WAN-IP Netgear>";
}
mode = phase1_mode_aggressive;
phase1ss = "alt/aes-3des/sha";
keytype = connkeytype_pre_shared;
key = "<PSK>";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 10.140.6.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.6.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF



Unsere aktuele VPN-Konfiguraiion auf dem Netgear sieht wie folgt aus:

69333fa9792964069b56dc9556d41a1c - Klicke auf das Bild, um es zu vergrößern

3bffb06c157eceeab637499530408d5b - Klicke auf das Bild, um es zu vergrößern


Bei der aktuellen Konfiguration wird im VPN-LOG auf dem Netgear folgender LOG generiert:


2013 Feb 13 15:24:06 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP <WAN IP Fritzbox>-><WAN IP Netgear> _
2013 Feb 13 15:23:36 [FVS336GV2_NOR] [IKE] NAT-Traversal is Enabled_
2013 Feb 13 15:23:35 [FVS336GV2_NOR] [IKE] Beginning Aggressive mode._
2013 Feb 13 15:23:35 [FVS336GV2_NOR] [IKE] Initiating new phase 1 negotiation: <WAN IP Netgear>[500]<=><WAN IP Fritzbox>[500]_
2013 Feb 13 15:23:35 [FVS336GV2_NOR] [IKE] remote configuration for identifier "<DYNDNS-Name Fritzbox>" found_
2013 Feb 13 15:23:35 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_
2013 Feb 13 15:23:24 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP 79.242.180.178->213.209.123.114 _
2013 Feb 13 15:23:12 [FVS336GV2_NOR] [IKE] Phase 1 negotiation failed due to time up for 7<WAN IP Fritzbox>[500]. 5835381fd53301bc:0000000000000000_
2013 Feb 13 15:22:53 [FVS336GV2_NOR] [IKE] remote configuration for identifier "<DYNDNS-Name Fritzbox>" found_
2013 Feb 13 15:22:53 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_
2013 Feb 13 15:22:42 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP <WAN IP Fritzbox>-><WAN IP Netgear> _
2013 Feb 13 15:22:12 [FVS336GV2_NOR] [IKE] Setting DPD Vendor ID_
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] NAT-Traversal is Enabled_
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] Beginning Aggressive mode._
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] Initiating new phase 1 negotiation: <WAN IP Netgear>[500]<=><WAN IP Fritzbox>[500]_
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] remote configuration for identifier "<DYNDNS-Name Fritzbox>" found_
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_
2013 Feb 13 15:21:59 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP 79.242.180.178->213.209.123.114 _
2013 Feb 13 15:21:45 [FVS336GV2_NOR] [IKE] Phase 1 negotiation failed due to time up for <WAN IP Fritzbox>[500]. 4e6b6e4588cdc93b:0000000000000000_
2013 Feb 13 15:21:28 [FVS336GV2_NOR] [IKE] remote configuration for identifier "<DYNDNS-Name Fritzbox>" found_
2013 Feb 13 15:21:28 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_
2013 Feb 13 15:21:16 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP <WAN IP Fritzbox>-><WAN IP Netgear> _
2013 Feb 13 15:20:45 [FVS336GV2_NOR] [IKE] Setting DPD Vendor ID_
2013 Feb 13 15:20:45 [FVS336GV2_NOR] [IKE] NAT-Traversal is Enabled_
2013 Feb 13 15:20:45 [FVS336GV2_NOR] [IKE] Beginning Aggressive mode._
2013 Feb 13 15:20:45 [FVS336GV2_NOR] [IKE] Initiating new phase 1 negotiation: <WAN IP Netgear>[500]<=><WAN IP Fritzbox>[500]_



Wie schon gesagt, wir haben schon viele viele Einstellungen probiert (Verschiedene Verlüsselungsalgorithmen in Phase1 und Phase2 ..., Main Mode -> Aggrissive Mode ..). Aber es scheitert immer wieder am Aufbau der Verbindung.

Wir wären für jede Hilfe sehr sehr Dankbar. Vielen Dank im Voraus.


Gruß Malerius






Mitglied: goscho
25.02.2013, aktualisiert um 15:44 Uhr
Hi Malerius,
die Einstellungen deiner FB-Config könntest du mal anpassen.

Das FVS-Netz hat eine feste öffentliche IP und das FB-Netz eine dynamische, ja?


In deiner Konfiguration ist keine Remote IP (WAN-IP des FVS) eingetragen:
remoteip = 0.0.0.0;

Anstelle dieser Einstellungen:
phase1ss = "alt/aes-3des/sha"
Teste bitte:
phase1ss = "all/all/all

phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
Teste mal diese:
phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs"

PS: Ich habe/hatte diverse VPNs zwischen FVS336G und Fritzboxen (7170/7270) laufen. Diese sind sehr stabil. Die FB-Netze haben dynamische IPs, die FVS-Netze zumeist feste öffentliche.

Edit: Ich habe die SA-Lifetime in der IKE- und der VPN-Policy auf dem Netgear auf 3600 sec gestellt.
Bitte warten ..
Mitglied: Malerius
25.02.2013 um 16:17 Uhr
Hallo Goscho,

erst einmal vielen Dank für die schnelle Antwort / Hilfe. Wir haben die Config entsprechend angepasst. Bei der Internetverbinudng des Netgears handelt es sich um eine statische öffentliche Adresse ja. Aktuell sieht sie so aus:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Con7";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = <WAN-IP Netgear>;
remote_virtualip = 0.0.0.0;
localid {
fqdn = "<DYNDNS Fritzbox>";
}
remoteid {
ipaddr = <WAN-IP Netgear>;
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "PSK";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 10.140.6.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.6.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.6.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF


Die Lifetime haben wir beim Netgear in der IKE-Policy auch angepast.

Leider funktioniert der Verbindungsaufbau immer noch nicht.

Aktuell wird im VPNLog des Netgears folgendes gezeigt:

2013 Feb 25 15:02:49 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP <WANIP Fritzbox>-><WANIP Netgear> _
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] Sending Informational Exchange: notify payload[INVALID-HASH-INFORMATION]_
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] HASH mismatched_
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] DPD is Enabled_
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] Received Vendor ID: DPD_
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] Received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] Setting DPD Vendor ID_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] NAT-Traversal is Enabled_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] Beginning Aggressive mode._
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] Initiating new phase 1 negotiation: <WANIP Netgear>[500]<=><WANIP Fritzbox>[500]_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] remote configuration for identifier "DYNDNS Fritzbox" found_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_

Vielen Dank im Voraus.

Gruß Malerius
Bitte warten ..
Mitglied: goscho
25.02.2013 um 16:33 Uhr
Hi
use_nat_t = yes;
mal auf "no" stellen -> Wieso muss dort genattet werden?

phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs"
bitte zumindest testweise auf folgendes stellen:

phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs"

An den Netgear Policies hast du außer der SA-Lifetime nichts verändert?
Bitte warten ..
Mitglied: Malerius
26.02.2013 um 10:13 Uhr
Guten Morgen Goscho,

vielen Dank noch einmal für die Antwort. Wir kamen erst heute Morgen wieder dazu die Einstellungen zu testen. Dank deiner Tips funktioniert die Verbindung nun

Allerdings ging es nicht sofort. Der Trick war zum Schluss noch den PSK auf ein weniger komplexen Schlüssel zu ändern. Danach konnte die Verbindung erfolgreich aufgebaut werden.

Vielen vielen Dank für die schnelle und kompetente Hilfe.


Gruß Malerius
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Router & Routing
Site to Site VPN zwischen Sonicwall und Fritzbox (5)

Frage von Kiste zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst Site-to-Site VPN mit LTE Router Teltonika RTU950 und Fritzbox 7390 (10)

Frage von flavourflo zum Thema LAN, WAN, Wireless ...

Google Android
Pixel kann kein VPN zur Fritzbox herstellen! Finger weg von Google Pixel! (5)

Frage von MyApps2GO.de zum Thema Google Android ...

Linux Netzwerk
Host-to-Site VPN zwischen Openswan und Fritzboxen (2)

Frage von ThePcSwagTogether zum Thema Linux Netzwerk ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...