Fritz Box VPN mit Cisco und IKE-Fehler

Hier zeige ich wie man eine Fritz Box mit einen Cisco-VPN verbinden kann. Damit könnte man grds. wohl auch VoIP über VPN bewerkstelligen.

Ich habe folgende Grundkonfiguration für Cisco-VPN genutzt, einfach anpassen und in die Fritz Box importieren:

vpncfg {
        connections {
                enabled = yes;
                editable = no; // darf nicht an sein, zerschießt sonst die Einstellungen
                conn_type = conntype_lan;
                name = "dus.net";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes; // muss immer aktiv sein
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = ...;
                remote_virtualip = 0.0.0.0;
                localid {
                        key_id = "gruppenname";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "alt/all/all";
                keytype = connkeytype_pre_shared;
                key = "gruppenschlüssel";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "";
                        passwd = "";
                }
                use_cfgmode = yes; // automatische Einrichtung des remote network
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0; // Netz der Fritz Box
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
                accesslist =
                             "permit ip any 1.2.3.0 255.255.255.0", // remote network
                             "permit ip any host 3.4.5.6"; // einzelner host
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

​​AVM hat eine Liste der Bedeutung der diversen IKE-Fehler, aber sie schreiben leider nicht, was man zur Behebung anpassen muss. Ich versuche das stellenweise zu ergänzen. Grundlageninformationen finden sich auch hier:
Typische Fehler

IKE-Error 0x2020 "hash mismatch in received packet"

Hier gibt es einen Fehler bei den Gewählten Algorithmen (vgl. "Tests") wohl in Phase 1 oder das Passwort stimmt nicht. Bei mir hat diese Anpassung geholfen:

phase1ss = "alt/all/all";
 
​​Probieren kann man diese:
 
dh5/aes/sha
dh14/aes/sha
dh15/aes/sha
def/all/all
alt/all/all
all/all/all
LT8h/all/all/all

Angeblich kann auch teilweise die MTU schuld sein an diesem Fehler. Sie lässt sich bei der Fritz Box allerdings nicht anpassen. Es kann wohl auch an einem falschen key oder der falschen key_id liegen.

IKE-Error 0x2026 "no proposal chosen"

Hier handelt es sich wohl um Fehler in Phase 2

Es stehen u.a. folgende Alternativen zur Verfügung:

esp-3des-sha/ah-no/comp-no/pfs
esp-3des-sha/ah-no/comp-no/no-pfs
esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs
esp-aes-sha/ah-all/comp-lzjh-no/pfs
esp-all-all/ah-all/comp-all/pfs
esp-all-all/ah-all/comp-all/no-pfs
esp-all-all/ah-none/comp-all/pfs
esp-all-all/ah-none/comp-all/no-pfs
LT8h/esp-all-all/ah-none/comp-all/pfs
LT8h/esp-all-all/ah-none/comp-all/no-pfs


Noch ein paar Notizen

Samsung Scanner in Your Network Despite Firewall With Manual Setup

​To manually detect a Samsung network scanner with sane, you can try this method:

echo 'tcp scx' | sudo tee -a /etc/sane.d/xerox_mfp.conf

Replace "scx" with ​the IP address or resolvable hostname of your scanner. Try to ping the host, e.g. "ping scx" before you enter it here.

This assumes using the drivers from www.bchemnet.com/suldr. For some services, you may have to restart the service or your computer. It fixed using the scanner with an active firewall for me.

Diverse Probleme mit der Fritz Box bei fehlerhaften VPN-Einstellungen

Wenn man die VPN-Funktion der Fritz Box nutzt, sollte man regelmäßig prüfen, ob alle ausgehenden Verbindungen funktionieren.

Denn nicht funktionierende ausgehende VPN-Verbindungen (z.B. Kopplung zwischen zwei Fritz Boxen) können zu diversen Problemen führen, u.a. schlechte Sprachqualität beim VoIP, Paketverluste und langsameres Internet. Wenn man eine aktive VPN-Verbindung hat, die die Default Route setzt (z. B. automatisch via use_cfgmode = no;), kann sogar das Internet insgesamt unterbrochen werden.

Die Lösung ist einfach: Den Haken links neben der VPN-Verbindung abwählen und die Einstellungen übernehmen.