IPsec zwischen fbox7170 und Cisco möglich?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
O

odoll

Mitglied
Mitglied seit
10 Apr 2006
Beiträge
716
Punkte für Reaktionen
13
Punkte
18
Hallo,

ich habe schon länger eine Cisco801, die für mich der DSL-Router war (PPPoE) und zusätzlich eine IPsec-Verbindung zu einem größeren Cisco (7206) hält.

Nachdem ich eine fbox zwecks Ersatz DSL-Modem, TK-Anlage usw. dazwischen geschoben habe, terminiert die PPPoE-Session nun auf der fbox und nur noch der IPsec-Tunnel wird durchgeleitet:

Port-Forwarding ESP und 500/UDP von fbox zur lokalen Cisco, bzw. statische (Host-)Route auf fbox zur Cisco für das Netz/den Host, der durch den IPsec-Tunnel erreicht werden soll, bzw. der von aussen ins Netz kommen soll (siehe Screeshots).

Mit dem neuen IPsec-Feature auf der fbox wärs natürlich schön, auch noch die 801 quit zu werden.

Also habe ich mal versucht die Cisco-Konfig

Code: 
version 12.3
!
crypto isakmp policy 1
 hash md5
 authentication pre-share
 group 2
crypto isakmp key <clear text cisco key> address <remote_IP>
!
crypto ipsec transform-set YouNameIt esp-des esp-md5-hmac 
!
crypto map toBIGcisco 10 ipsec-isakmp 
 set peer <remote_IP>
 set transform-set YouNameIt 
 match address 101
!
access-list 101 remark *** Define the special IP range for IPSEC
access-list 101 permit ip <a.b.c>.0 0.0.0.255 <x.y.z>.0 0.0.0.255
!
end

in der vom AVM Konfigurator erzeugten Datei

Code: 
/*
 * \FRITZ!Fernzugang\xxx_dyndns_org\fritzbox.cfg
 * Sun Feb 25 10:24:54 2007
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "<remote_IP>";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = <remote_IP>;
                localid {
                        fqdn = "xxx.dyndns.org";
                }
                remoteid {
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "dc0f4-ebAVf1;83fc1914Nbebcabdca390";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = <a.b.c>.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any <x.y.z>.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

umzusetzen

Code: 
/*
 * \FRITZ!Fernzugang\xxx_dyndns_org\fritzbox2Cisco.cfg
 * Sun Feb 25 10:24:54 2007
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "<remote_IP>";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = <remote_IP>;
                localid {
                        fqdn = "xxx.dyndns.org";
                }
                remoteid {
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "<clear text cisco key>";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = <a.b.c>.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any <x.y.z>.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Das Hochladen der Konfig quitiert die fbox aber nur damit, dass ich mich neu anmelden muss und damit, dass in der Fernzugangsübersicht keine VPN-Verbindungen aufgeführt wird.

Ich denke mal, dass ich den Pre-Share-Key nicht einfach als Klartext der fbox vorwerfen kann? Nur wie wir der Key verschlüsselt?

Und ich denke ich muss das ESP und 500/UDP Port-Forrwarding ausschalten, damit es klappen kann.

Gibts noch weitere Hinweise, was evt. noch nicht stimmern könnte?
--
Danke
Oliver
 

Anhänge

  • fboxPW.jpg
    fboxPW.jpg
    67 KB · Aufrufe: 20
  • fboxSR.jpg
    fboxSR.jpg
    42.9 KB · Aufrufe: 14
Hallo,

In der Cisco Konfig steht eine IP als Peer Identifier, die Box arbeitet aber mit FQDNs. Ich glaube nicht, dass du der Box das so ohne weiteres beibringen kannst.

Ich weiß nicht genau, wie dieses AVM Programm für die Erstellung der VPN Konfigurationen die Schlüssel etc. erstellt. Generell würde ich aber den umgekehrten Weg gehen: Eine Konfig für die Box erstellen mit dem AVM Programm und diese dann auf dem Cisco Server entsprechend übernehmen.

Die Schlüssel in der Box sind übrigens "Klartext". Jedenfalls ist es mir gelungen, eine Konfig für OpenSWAN zu erstellen aus den Infos der AVM Konfiguration, die zumindest Phase 1 erfolgreich abschließt. Leider passiert dann bei Phase 2 recht wenig. Wenn ich mal wieder viel Zeit hab, starte ich das avmike auf der Box mal mit aktivierter Debug Ausgabe, dann analysiere ich mal, was da schief geht.

Viele Grüße

Frank
 
Inzwischen habe ich die FRITZ!Box Fon WLAN 7170 (UI), Labor-Version 29.04.33-6937 drauf und einen neuen Versuch gestartet.

Die obige Cisco Konfiguration (siehe mein erster Post in diesem Thread) habe ich wie folgt direkt auf der fbox abgeändert:

Code: 
/*
 * /var/flash/vpn.cfg
 * Sun Apr 15 07:57:58 2007
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "VPN.Dortmund.de.ALTER.NET";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = [I]<offizielle IP der Cisco>[/I];
                remote_virtualip = [I]<offizielle IP der Cisco>[/I];
                localid {
                        fqdn = "[I]DynDNS FQDN meiner fbox[/I]";
                }
                remoteid {
                        ipaddr = [I]<offizielle IP der Cisco>[/I];
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "[I]Schlüssel in Klartext[/I]";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = [I]<mein offizielles IP LAN - kein RFC1918!>[/I];
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any [I]<offizielle remote IP>[/I] 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF

aber leider bleibt die Fehlermeldung der fbox

27.05.07 05:08:43 VPN: <offizielle IP der Cisco>, Error no proposal chosen, abort. (no proposal chosen, abort.)
Zum Vergrößern anklicken....

Hat vielleicht jemand eine Idee, wie ich die Cisco-Konfig anderweitig übersetzen sollte?
 
Hallo,

Du kannst eine einmal erstellte Konfig nicht nachträglich ändern. AVM arbeitet mit Checksums oder so, wahrscheinlich im Passwort. Jede Änderung an der Konfig Datei führt sofort zu einer Fehlermeldung.

Der wirklich einzige Weg ist es, eine Konfig mit dem AVM Tool zu erstellen und die entsprechenden Kenndaten in die Gegenseite einzutragen.

Viele Grüße

Frank
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 824 (Mitglieder: 40, Gäste: 784)

Neueste Beiträge

Statistik des Forums

Themen
246,171
Beiträge
2,247,407
Mitglieder
373,714
Neuestes Mitglied
Panicmaker
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück