Hier zeige ich wie man eine Fritz Box mit einen Cisco-VPN verbinden kann. Damit könnte man grds. wohl auch VoIP über VPN bewerkstelligen.
Ich habe folgende Grundkonfiguration für Cisco-VPN genutzt, einfach anpassen und in die Fritz Box importieren:
vpncfg {
connections {
enabled = yes;
editable = no; // darf nicht an sein, zerschießt sonst die Einstellungen
conn_type = conntype_lan;
name = "dus.net";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes; // muss immer aktiv sein
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = ...;
remote_virtualip = 0.0.0.0;
localid {
key_id = "gruppenname";
}
mode = phase1_mode_aggressive;
phase1ss = "alt/all/all";
keytype = connkeytype_pre_shared;
key = "gruppenschlüssel";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
xauth {
valid = yes;
username = "";
passwd = "";
}
use_cfgmode = yes; // automatische Einrichtung des remote network
phase2localid {
ipnet {
ipaddr = 192.168.178.0; // Netz der Fritz Box
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist =
"permit ip any 1.2.3.0 255.255.255.0", // remote network
"permit ip any host 3.4.5.6"; // einzelner host
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
AVM hat eine Liste der Bedeutung der diversen IKE-Fehler, aber sie schreiben leider nicht, was man zur Behebung anpassen muss. Ich versuche das stellenweise zu ergänzen. Grundlageninformationen finden sich auch hier:
- Einrichtung mit Juniper: https://blog.webernetz.net/
2013/12/02/ipsec-site-to-site- vpn-juniper-screenos-avm- fritzbox/ - Liste der IKE-Fehler bei AVM: https://service.avm.de/help/
de/FRITZ-Box-7362-SL-avm/016/ hilfe_syslog_122 - Sicherheitseinstellungen: http
s://blog.webernetz.net/2015/ 03/11/fritzos-ab-06-23-ipsec- p2-proposals-erweitert - Probleme nach dem Update zu Version 6.2 (wohl behoben): https://blog.
webernetz.net/2014/11/25/ fritzos-ab-06-20-anderungen- bei-vpns/ - Weitere Beiträge im Webernetz: https://blog.webernetz.net/
tag/fritzbox/
Typische Fehler
IKE-Error 0x2020 "hash mismatch in received packet"
Hier gibt es einen Fehler bei den Gewählten Algorithmen (vgl. "Tests") wohl in Phase 1 oder das Passwort stimmt nicht. Bei mir hat diese Anpassung geholfen:
phase1ss = "alt/all/all";
Probieren kann man diese:
dh5/aes/sha
dh14/aes/sha
dh15/aes/sha
def/all/all
alt/all/all
all/all/all
LT8h/all/all/all
Angeblich kann auch teilweise die MTU schuld sein an diesem Fehler. Sie lässt sich bei der Fritz Box allerdings nicht anpassen. Es kann wohl auch an einem falschen key oder der falschen key_id liegen.
IKE-Error 0x2026 "no proposal chosen"
Hier handelt es sich wohl um Fehler in Phase 2.
Es stehen u.a. folgende Alternativen zur Verfügung:
esp-3des-sha/ah-no/comp-no/pfs
esp-3des-sha/ah-no/comp-no/no-pfs
esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs
esp-aes-sha/ah-all/comp-lzjh-no/pfs
esp-all-all/ah-all/comp-all/pfs
esp-all-all/ah-all/comp-all/no-pfs
esp-all-all/ah-none/comp-all/pfs
esp-all-all/ah-none/comp-all/no-pfs
LT8h/esp-all-all/ah-none/comp-all/pfs
LT8h/esp-all-all/ah-none/comp-all/no-pfs
Noch ein paar Notizen
- Debugging geht über System -> Ereignisse.
- Die accesslist bestimmt die Routen, die über das VPN gehen: any any heißt von allen Geräten zu allen. Das bedeutet, es wird die default route. Das will man oft nicht.
- Wenn die Fritz Box in Ereignisse gar keine Fehler anzeigt, liegt meist ein grober Konfigurationsfehler vor. Die Fritz Box versucht dann gar nicht erst, eine Verbindung herzustellen.
- Die Einrichtung des Cisco-Routers wird auch hier beschrieben: https://blog.
webernetz.net/2014/06/25/ ipsec-site-to-site-vpn-cisco- router-avm-fritzbox/ - Die Parameter der Konfigurationsdatei werden hier teilweise erläutert: http://www.
wehavemorefun.de/fritzbox/ Talk:Versteckte_Features - Das Routing wird hier gut von AVM beschrieben: https://en.avm.
de/service/fritzbox/fritzbox- . Hier finden sich hilfreiche beispiele (nach "permit" suchen): http://www.6840-lte/knowledge-base/ publication/show/230_ Accessing-multiple-IP- networks-behind-a-FRITZ-Box- over-VPN-connection-between- two-FRITZ-Boxes/ wehavemorefun.de/fritzbox/Ar7. cfg - Man darf Netbios nie filtern, sonst verbindet sich die Fritz Box gar nicht erst.
- Es kann auch helfen, die Einstellungen der Fritz Box zu exportieren und sich dort Beispielkonfigurationen anzusehen.
- Es gibt auch einen passenden Artikel zu Fritz Box VPNs mit Firewallsin einer aktuellen c't: "In Phase 1 und Phase 2 werden außerdem die Krypto-Protokolle (Proposals) und die Dauer der Schlüsselgültigkeit ausgehandelt (Lifetimes). Dieser Einstellungsbereich gilt als Mutter allen IPsec-Übels – weil es sehr viele Optionen gibt."
