Fritz Box IPSec VPN

SunFire

Hallo,

hat jemand schonmal probiert mit dem VPN Firmwareimage aus dem AVM Lab die FritzBox dazu zu bringen sich als mobile client zu einer PFS via IPSec zu verbinden?
Ich hab ein bischen mit den Settings auf beiden Seiten rumgespielt aber hab es nicht ganz zum laufen bekommen.

JeGr

Keine Thread-Nekromantie aber die gleiche Frage aus aktuellerem Anlaß:

Hat schon jemand versucht mit einer Fritz!Box (bspw. 7170 mit aktuellem Image) eine Verbindung zu pfSense zu bauen? Was die Box mit der aktuellen Firmware im VPN Tab anbietet sieht mir sehr nach IPSec aus was ich auch auf der Portalseite bestätigt finde. Ich würde gern zwischen meiner Heim-PF und meiner neuen Wohnungs-Fritz!Box einen Tunnel bauen (weils einfach günstiger ist als noch ein Modem und ne embedded Platform zu kaufen). Wenn jemand Erfahrungswerte hat, wärs schick (vielleicht auch FritzBox VPN allgemein), ansonten werd ich mich die Tage einfach mal dran wagen :)

telehaus

Das wäre Super! Genau das suche ich auch. Hat einer von euch das schon hinbekommen?

Hier sind 1-2 Dokumente, die evtl. helfen:

Unterstützte IPSEC-Verfahren:

http://www.avm.de/de/Service/Service-Portale/Service-Portal/images/Redaktionelle_Grafiken/vpn/ike_2.pdf

HowTos um z.B. die FritzBox mit WatchGuard-Firebox, Cisco Conentrator usw. zusammenzubringen..

http://www.avm.de/vpn

Das muesste doch möglich sein, eine funktionierende fritzbox.cfg zu erstellen, oder?

realdave

Hat das hier mittlerweile mal jemand hinbekommen? Ich bin bisher immer gescheitert  ???

Grüße

realdave

Letzter Versuch. Für eine funktionierende Anleitung einer IPSec Verbindung zwischen der PFSense und der Fritzbox 7170 mit der neusten Beta Firmware würde ich auch 50 Euro zahlen.

Vielleicht hat ja jemand Interesse?

JeGr

Also ich kenne zwar nicht die neueste Beta, aber die aktuelle Final habe ich auf der 7170 drauf. Werde es auch versuchen, allerdings muss meine pfSense am anderen Ende erneuert werden, deshalb erst am Sonntag möglich. Stay tuned :)

realdave

i stay immer noch tuned  ;D

td1964

Hallo zusammen :-)
falls es noch jemanden interessiert, bei mir steht die Verbindung von einer Fritzbox 7170 zu pfsense per IPSEC zumindest seit gestern stabil.

Allerdings hab ich feste IP's, mit DynDNS hab ichs noch nicht versucht.
Negotiation mode mit "main" läuft nicht, mit "agressive" gehts.

Hier die Configs:
Pfsense 1.22:
Interface: WAN (feste IPAdresse)
Local Subnet: LAN subnet
Remote subnet: 192.1.1.0/24
Remote gateway: xx.xx.xx.xx (feste IP)
Description: irgendwas
Negotation mode: aggressive (mainmode ging nicht)
My identifier: My IP address
Encyption
algorithm: 3DES
Hash algorithm: SHA1
DH key group: 1 (1024bit)
Lifetime: 3600
Authentication
method: Pre-shared key
Pre-sharedkey: geheim
Certificate: nix
Protocol: ESP
Encryption alg.: 3DES, Rijndael (AES), Rijindal 256
Hash algo.: SHA1
Lifetime: 3600

##########################################################################
Fritzbox 7170:
/*

• C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVM\FRITZ!Fernzugang\fritzbox.cfg
• Fri Apr 03 16:07:40 2009
  */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Irgendwas";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = xx.xx.xx.xx;
                remote_virtualip = 0.0.0.0;
                localid {
                        ipaddr = xx.xx.xx.xx;
                }
                remoteid {
                        ipaddr = xx.xx.xx.xx;
                }
                mode = phase1_mode_aggressive;  #für mainmode: mode = phase1_mode_idp; (ging aber nicht)
                phase1ss = "def/3des/sha";
                keytype = connkeytype_pre_shared;
                key = "geheim";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.1.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.100.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs";
                accesslist = "permit ip any 192.168.100.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF

telehaus

danke! klappt irgendwie bei mir nicht.

kann die .cfg datei nicht importieren.. (versuche es allerdings auch mit der windows-client-software: Fritz!Fernzugang - nicht direkt mit der Fritz!Box…)

für alle: xx.xx.xx.xx habe ich die offizielle, statische ip eingetragen...

bei localid wusste ich nicht so recht...

td1964

Gerne :-)

Am besten Du erstellst mit der AVM-Software Deine cfg mit Deinen IP's etc. und änderst danach die cfg mit meinen Werten ab, so hab ichs auch gemacht.
Entscheiden sind eigentlich nur die Einträge bei phase1ss und phase2ss in der fritzbox.cfg.
Das #für mainmode: mode = phase1_mode_idp; (ging aber nicht) natürlich nicht reinschreiben, dient nur zur Info!
Import in der Weboberfläche der Fritzbox hat bei mir immer funktioniert.

Viel Erfolg
TD