Fritz Box VPN mit Cisco und IKE-Fehler

Hier zeige ich wie man eine Fritz Box mit einen Cisco-VPN verbinden kann. Damit könnte man grds. wohl auch VoIP über VPN bewerkstelligen.

Ich habe folgende Grundkonfiguration für Cisco-VPN genutzt, einfach anpassen und in die Fritz Box importieren:

vpncfg {
        connections {
                enabled = yes;
                editable = no; // darf nicht an sein, zerschießt sonst die Einstellungen
                conn_type = conntype_lan;
                name = "dus.net";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes; // muss immer aktiv sein
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = ...;
                remote_virtualip = 0.0.0.0;
                localid {
                        key_id = "gruppenname";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "alt/all/all";
                keytype = connkeytype_pre_shared;
                key = "gruppenschlüssel";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "";
                        passwd = "";
                }
                use_cfgmode = yes; // automatische Einrichtung des remote network
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0; // Netz der Fritz Box
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
                accesslist =
                             "permit ip any 1.2.3.0 255.255.255.0", // remote network
                             "permit ip any host 3.4.5.6"; // einzelner host
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

​​AVM hat eine Liste der Bedeutung der diversen IKE-Fehler, aber sie schreiben leider nicht, was man zur Behebung anpassen muss. Ich versuche das stellenweise zu ergänzen. Grundlageninformationen finden sich auch hier:
Typische Fehler

IKE-Error 0x2020 "hash mismatch in received packet"

Hier gibt es einen Fehler bei den Gewählten Algorithmen (vgl. "Tests") wohl in Phase 1 oder das Passwort stimmt nicht. Bei mir hat diese Anpassung geholfen:

phase1ss = "alt/all/all";
 
​​Probieren kann man diese:
 
dh5/aes/sha
dh14/aes/sha
dh15/aes/sha
def/all/all
alt/all/all
all/all/all
LT8h/all/all/all

Angeblich kann auch teilweise die MTU schuld sein an diesem Fehler. Sie lässt sich bei der Fritz Box allerdings nicht anpassen. Es kann wohl auch an einem falschen key oder der falschen key_id liegen.

IKE-Error 0x2026 "no proposal chosen"

Hier handelt es sich wohl um Fehler in Phase 2

Es stehen u.a. folgende Alternativen zur Verfügung:

esp-3des-sha/ah-no/comp-no/pfs
esp-3des-sha/ah-no/comp-no/no-pfs
esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs
esp-aes-sha/ah-all/comp-lzjh-no/pfs
esp-all-all/ah-all/comp-all/pfs
esp-all-all/ah-all/comp-all/no-pfs
esp-all-all/ah-none/comp-all/pfs
esp-all-all/ah-none/comp-all/no-pfs
LT8h/esp-all-all/ah-none/comp-all/pfs
LT8h/esp-all-all/ah-none/comp-all/no-pfs


Noch ein paar Notizen

No comments:

Post a Comment

I appreciate comments. Feel free to write anything you wish. Selected comments and questions will be published.