[Problem] Lan-Lan iPsec VPN Tunnel zwischen Fritzbox 7590AX und Digitalisierungsbox Smart

Dinobabino

Neuer User
Mitglied seit
11 Dez 2023
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich bin ein absoluter vollnoob was iPsec VPN Tunnel anbelangt und komme aktuell leider nicht weiter. Hoffentlich könnt ihr mir helfen!

Ich würde gerne eine Lan-Lan Verbindung zwischen einer Fritzbox und einer Digitalisierungsbox Smart herstellen um zwei NAS zu verbinden (Backup). Bisher habe ich es mit der Anleitung von Bintec geschafft eine Verbindung von der Fritzbox zur Digitalisierungsbox (über Fritzbox zu Firmen-VPN) herzustellen aber leider nicht in die andere Richtung. "Heimnetz zu einer weiteren Fritzbox" funktioniert leider auch nicht. Übrig bleibt noch eine manuelle Config mithilfe "Fritz!Fernzugang einrichten". In anderen Forenbeiträgen wurde gesagt, dass die Parameter dieser Config im AVM VPN Portal erklärt werden, die habe ich leider nicht gefunden.

Erzeugt habe ich folgendes Config File (vertrauenswürdige Daten wurden durch bezeichnende Dummies ersetzt):
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Digibox Smart Verbindung";
always_renew = no; ### Ich habe gelesen, dass man das auf no stellen soll und dann einen Ping Generator von der Digibox zur Fritzbox erstellen soll?
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0; ### Remote IP sollte ja eigentlich über den dyndns der Digibox laufen, ich weiß nicht ob dann 0.0.0.0 passt. Das war der Vorschlag der Fritz!Fernzugang software
remote_virtualip = 0.0.0.0; ### Mit virtualip kann ich gar nichts anfangen
remotehostname = "dyndns Digibox";
localid {
fqdn = "dyndns Fritzbox";
}
remoteid {
fqdn = "dyndns Digibox";
}
mode = phase1_mode_aggressive;
phase1ss = "dh2/aes/sha"; ### Hier habe ich versucht den AES-256 Verschlüsselung, DH-Gruppe 2 und SHA1 Authentifizierung von der Bintec Anleitung einzutragen
keytype = connkeytype_pre_shared;
key = "MeinGeheimerSchlüssel"; ### Hier gebe ich meinen vordefinierten Preshared Key in Klartext ein
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.0.0; ### Fritzbox LAN
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.100.0; ### Digibox LAN
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs"; ### Hier ist auf der Digibox aktuell nach Bintec Anleitung AES-256 Verschlüsselung, SHA1 Authentifizierung und pfs deaktiviert. Ich weiß nicht wie ich das richtig umsetze in der config
accesslist = "permit ip any 192.168.100.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Ich kann diese Config in die Fritzbox importieren. Es passiert leider nichts und in den Fritzbox Ergeignissen ist auch nichts sichtbar. Ich war mir eigentlich mit der Konfiguration von Phase 1 sicher aber nichtmal die scheint zu funktionieren :( Sieht von euch jemand den Fehler?
 
In den Supportdaten der FRITZ!Box ist ein mittlerweile ziemlich ausführliches Protokoll der VPN-Aktivitäten zu finden - da könnte man mit einer Fehlersuche dann auch starten, wenn die eigene Konfiguration NICHT das erwartete Ergebnis liefert.
 
Dieses Video war das allererste was ich versucht habe. Der Titel ist falsch, bei 5:15 sieht man, dass es eine Fritzbox zu Firmennetzwerk Verbindung ist (die ich über die Bintec Anleitung hinbekommen habe) und dazu funktioniert es nicht.

[Edit Novize: Beiträge zusammengefasst - siehe Forumsregeln]

Danke das mit den Supportdaten hilft schonmal etwas weiter. Folgendes habe ich rausgefunden:
vpncfg_convert con: Digibox Smart Verbindung disabled, unknown phase1 strategy:dh2/aes/sha.
vpncfg_convert con: Digibox Smart Verbindung disabled, unknown phase1 strategy:DH2/AES-256/SHA1.


Egal wie ich die Phase 1 konfiguriere wird sie von der Fritzbox nicht geschluckt. Gleichzeitig schafft er es aber mit einer ähnlichen Konfiguration in der Fritzbox zu Firmen-VPN Verbindung den Tunnel herzustellen:
IKE SA: DH2/AES-256/SHA1 IPsec SA: ESP-AES-256/SHA1/LT-3600 wurde erfolgreich hergestellt.

Weiß niemand wo man den Syntax für dieses Config File herbekommt?
 
Zuletzt bearbeitet von einem Moderator:
Suchmaschine befragen mit:

site:ip-phone-forum.de "ipsec.cfg"

(optional noch meinen Nickname dazunehmen)

Wo man die richtigen Angaben für die Proposals findet, habe ich oft genug beschrieben.

Die boardinterne Suche beherrscht die Suche nach ipsec.cfg nicht.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.