7490 7.01 / VPN Probleme

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
S

sulihari

Neuer User
Mitglied seit
16 Sep 2010
Beiträge
134
Punkte für Reaktionen
7
Punkte
18
Nach dem Update von 6.93 auf 7.01 gibt es bei einigen existierenden IPSec LAN-LAN Verbindungen den Fehler IKE-Error 0x203d. Nach Löschen der VPN Einträge und neuem Import der Konfigurationsdatei wird im GUi alles als grün markiert. Daher würde man annehmen, alles ist ok. Anschliessend ist die Liste jedoch leer. Auf der Konsole (modfs sei Dank) kann man diverse vpncfg Import Meldungen sehen, mit angeblichen Fehlern im Import File. Diverse Versuche auch mit nur einer Verbindung im Import File brachten keine wirkliche Verbesserung. Im AVM Changelog zur Version 7.01 steht VPN mehrfach. Das machte mich stutzig. Ich wechselte kurzerhand in die andere Partition zurück auf 6.93, löschte alle VPN Einträge und importierte diese mit der unveränderten VPN Konfigurationsdatei. Ergebnis Import grün, kein Fehler auf der Konsole, alle VPN Lan-Lan Verbindungen laufen. Dann nochmal der Gegentest mit 7.01. Ergebnis, die Liste war erwartungsgemäss noch da, die Fehler beim Verbindungsaufbau endeten wieder mit IKE-Error 0x203d.
Für mich sieht das nach Fehlern in der Version 7.01 bei VPN aus. Wer hat ähnliche Erfahrungen gemacht?
 
Ich habe bisher nur eine Repeater-FB mit modfs (0.5.0-beta-180920182231) und 6.93/7.01 in Betrieb und beim Wechsel über die spezielle GUI-Neustart-Seite festgestellt, dass die 7.01 direkt nach dem Wechsel mit der Internetverbindung -hier als WLAN-MESH-Repeater- vergesslich zu sein scheint? Die VPN-Anzeige (in der 6.93 noch als netter Patch auf der Übersichtsseite) fehlt in der 7.01 gänzlich. (Der ganze VPN-Reiter ;) )
Unabhängig von modfs, scheint die FW7.01 z.B. hinter einem Kabelmodem oder in 2ter-Reihe vergesslich zu sein, was ggfs. mit dem Abnicken der neuen AGBs/E-Mail-Benachrichtigung usw. bis zur Meldung ... erfolgreich installiert ... bei jedem linux_fs-start 0/1 gerne erneut auf-bloppt.

Bei VPN-Verbindungen wurde zwar im changelog erwähnt, dass ggü. der 7.00@FB7590 bei der 7.01 das 2FA-Problem für den Import gefixt sei, nur die Gegenprobe könnte hilfreich sein neben dem Umstand, eine VPN.cfg auf eigene Erweiterungen in der Syntax, falls über ein Template erstellt, zu überprüfen. Ich entsinne mich an einen Fall bei mir, wo eine *.cfg in einer 7490 anstandslos funktionierte und wegen einer "editable-Anweisung" in einer 7240/7390 streikte.
LG
 
Ich hatte modfsnow vom 20.9 verwendet. Es lief alles durch und ich glaube nicht das modfs was an der AVM VPN Seite verändert. Deine Vermutung mit der Syntax könnte stimmen. Merkwürdig ist, bei allen Verbindungen beschwert sich der Import. Aber einige funktionieren dennoch.
Die Konfigurationdatei ist m.E. in Ordnung. Habe es jetzt mehrfach unter 6.93 und 7.01 wechselweise importiert. Bei 7.01 kommen beim Import solche seltsamen Meldungen:

Code: 
firmwarecfg[4340]: /var/tmp/vpncfgimport.eff:75: member ike_forward_rules not found in ST_topsection vpncfg
firmwarecfg[4340]: /var/tmp/vpncfgimport.eff:75: member ike_forward_rules not in vpncfg, try to recover
firmwarecfg[4340]: /var/tmp/vpntmp.cfg:75: member ike_forward_rules not found in ST_topsection vpncfg
firmwarecfg[4340]: /var/tmp/vpntmp.cfg:75: member ike_forward_rules not in vpncfg, try to recover
firmwarecfg[4340]: /var/tmp/vpntmp.cfg:75: member ike_forward_rules not found in ST_topsection vpncfg
firmwarecfg[4340]: /var/tmp/vpntmp.cfg:75: member ike_forward_rules not in vpncfg, try to recover

Die *.eff als quasi importierte Kopie sieht aber vollkomen normal aus. Ich hatte erst Sonderzeichen bzw. Dos/Unix Konvertierung im Verdacht. Aber das kann ich ausschliessen.
Vielleicht kann jemand was zu "ST_topsection vpncfg" sagen.
 
Zuletzt bearbeitet:
IKE-Error 0x203D -> "phase 1 sa removed during negotiation". Soweit war ich bereits. Die Proposal in ipsec.cfg sind bei 6.93 und 7.01 identisch. Wenn z.B ein Draytek Vigor 3200 der bisher mit AES256-SHA seinen Tunnel zur 7490 unter 6.93 problemlos aufbaut jetzt nicht mehr mitspielt, muss es eine Ursache haben. Was mir noch einfällt ist die geänderte Kennwort Policy.
Der PSK Wert in mindestens einer der nicht mehr funktionierenden Verbindungen erfüllt jedoch das Kriterium "mittel". Ich habe es mal Testweise bei der interaktiven VPN LAN-LAN Konfiguration eingegeben. Da ich derzeit keine separate Box zum Testen habe, ist es mit dem Zurücksetzen etwas problematisch.
 
Ich habe ähnliche Probleme mit FB 7580 und OS 07.01. Ich versuche, VPN-Verbindungen von einer bintec be.ip zu 2 FBs einzurichten:
- FB7490, OS 06.93 => funktioniert NUR mit manuell erstellter vpn.cfg
- FB7580, OS 07.01 => funktioniert NICHT mit manuell erstellter vpn.cfg
Die Dateien enthalten als IDs (localid und remoteid) E-Mail-Adressen ("user_fqdn") der Form "[email protected]". Diese wurden von beiden FBs klaglos akzeptiert, aber nur bei der FB7490, OS 06.93 sind diese Einträge in den exportierten Settings auch genauso sichtbar (allerdings ist der String gecrypted sodass ein Kontrolle nicht möglich ist). Bei der FB7580, OS 07.01 sind in den exportierten Settings die Einträge geändert in "fqdn", und zusätzlich ist die Phase1-Port-Änderung von UDP:500 auf UDP:4500 nicht mehr vorhanden, der Eintrag "ike_forward_rules" wurde nicht übernommen.
Gibt es hierzu irgendwelche Lösungsansätze?
 
Das wäre genau das, was die Meldung "member ike_forward_rules not in vpncfg" besagt. Nur sind die Angaben sowohl in der Importdatei als auch in der vpncfgimport.eff korrekt vorhanden.
Wenn ich auf ein und derselben 7490 unter 6.93 bin funktioniert es. Nach Umbooten auf 7.01 sollten die identischen VPN Settings angezogen werden. Zumindestens in der VPN Übersicht werden Sie korrekt angezeigt. Aber es funktioniert nicht.
Sobald die Box wieder zurück auf 6.93 gebootet wird, funktioniert VPN wieder fehlerfrei, d.h. ohne jeglichen Eingriff. Ich hatte solche parallelen Versionen mit 6,60 und 6.83 sowie 6.83 und 6,92 auf der 7490. Hier konnte man beliebig hin- und herschalten.
VPN funktionierte da einfach.
 
drummer1154 schrieb:
und zusätzlich ist die Phase1-Port-Änderung von UDP:500 auf UDP:4500 nicht mehr vorhanden, der Eintrag "ike_forward_rules" wurde nicht übernommen.
Gibt es hierzu irgendwelche Lösungsansätze?
Zum Vergrößern anklicken....

Was steht denn im avmike.log ?
siehe http://fritz.box/?lp=support
am Besten das avmike Logfile von 06.93 und nicht funktionierendem 07.01 per supportdaten Datei extrahieren und posten; ggf. public-IP, DynDNS, ... anonymisieren.
 
Hier mal exemplarisch die config und der output für eine nicht mehr funktionierende Verbindung.
FW 7.01

Code: 
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "NAME";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = #.#.#.#;
                remote_virtualip = 0.0.0.0;
                localid {
                        fqdn = "#######";
                }
                remoteid {
                        fqdn = "#######";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "#############";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.10.0;
                                mask = 255.255.255.0;
                        }
                }
               phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.11.0;
                                mask = 255.255.255.0;
                         }
                }
                phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
                accesslist = "permit ip any 192.168.11.0 255.255.255.0";
        }
}

avmike:

2018-09-23 08:23:01 avmike:< create_sa(appl=dsld,cname=NAME)
2018-09-23 08:23:01 avmike:NAME: Phase 1 starting
2018-09-23 08:23:01 avmike:>>> aggressive mode [#.#.#.#] NAME: V1.0 639 IC 8cda0f97cc12302f RC 00000000 0000 SA flags=
2018-09-23 08:23:01 avmike:<<<  aggressive mode[#.#.#.#] NAME: V1.0 292 IC 8cda0f97cc12302f RC e694c07b1785d36 0000 SA flags=
2018-09-23 08:23:01 avmike:aggressive mode NAME: selected lifetime: 3600 sec(no notify)
2018-09-23 08:23:01 avmike:NAME: add phase 1 SA: DH2/AES-256/SHA1/3600sec id:135
2018-09-23 08:23:01 avmike:NAME receive VENDOR ID Payload: DPD
2018-09-23 08:23:01 avmike:NAME: sending embedded inital contact message (0,#.#.#.#,#.#.#.#)
2018-09-23 08:23:01 avmike:>>> aggressive mode [#.#.#.#] NAME: V1.0 92 IC 8cda0f97cc12302f RC e694c07b1785d36 0000 HASH flags=e
2018-09-23 08:23:01 avmike:NAME: Phase 1 ready
2018-09-23 08:23:01 avmike:NAME: start waiting connections
2018-09-23 08:23:01 avmike:NAME: Phase 2 starting (start waiting)
2018-09-23 08:23:01 avmike:>>> quickmode [#.#.#.#] NAME: V1.0 380 IC 8cda0f97cc12302f RC e694c07b1785d36 2931a7e4 HASH flags=e
2018-09-23 08:23:02 avmike:<<<  infomode[#.#.#.#] NAME: V1.0 92 IC 8cda0f97cc12302f RC e694c07b1785d36 f4cb37ed HASH flags=e
2018-09-23 08:23:02 avmike:< cb_sa_create_failed(name=NAME,reason=IKE-Error 0x203d)
2018-09-23 08:23:02 avmike:NAME: del phase 1 SA 135

Laut AVM Doku beginnt die Aushandlung in Phase 1 mit DH2. Das Passwort habe ich auf beiden Seiten erneut eingetragen ("starke" Verschlüsselung lt. AVM)
Falls jemand den/die Fehler sieht, bitte Bescheid geben.
Im konkreten Fall ist auf der anderen Seite ein Draytek Vigor 2860+ mit FW 3.8.5. Da gibt es auch noch neuere Updates. Ich will nur nicht alles auf einmal ändern.
 
Zuletzt bearbeitet:
Ich habe jetzt die oben
Shirocco88 schrieb:
Was steht denn im avmike.log ?
Zum Vergrößern anklicken....
angefragten Daten extrahiert, samt Config-Files (leider löscht die Forum-SW konsekutive Blanks, sodass die Einrückungen verloren gehen - korrigiert mittels CODE tags).
Funktionierende FB7490, OS06.93:
Code: 
========================================================================================================================
FB7490FA164-beIPFe4-Imp1.cfg
========================================================================================================================
/* manually created 2018-09-21 hg */
vpncfg {
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "FB7490FA164-beIPFe4-Imp1";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "xxxxxxxxxxxxxx.ddnss.de";
                localid {
                        user_fqdn = "[email protected]";
                }
                remoteid {
                        user_fqdn = "[email protected]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "xxxxxxxxxxxxxxxxxxxx";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.164.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 172.16.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 172.16.1.0 255.255.255.0";
        }
}
========================================================================================================================
FB7490FA164-beIPFe4-Imp1i_ReadBack.cfg
========================================================================================================================
vpncfg {
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "FB7490FA164-beIPFe4-Imp1";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "xxxxxxxxxxxxxx.ddnss.de";
                keepalive_ip = 0.0.0.0;
                localid {
                        user_fqdn = "$$$$4T1X56IIM2IN6EB4B3ENJHQHB1BIZ2JNSFKXHQPGHRIJZJCTQDZR63BVR416AQUMSK4F2JAEWCMFS4ZG";
                }
                remoteid {
                        user_fqdn = "$$$$JN5VT4UAIQUTPP6Z3QJ1EFGYH3TVZW1TWDRAJ4WZ34FTZOYOHEN3EGTKS1MNL6F413EWE6OEH3IZG4ZG";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "$$$$EJMW352KGKC1I4KZFPOXJNNTGBDH6CFMY1J5FYNPDQFHO3VVPGOQBWL6Y4PIYENFYGOFAFDPKRD6SAAA";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.164.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 172.16.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 172.16.1.0 255.255.255.0";
                app_id = 0;
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
========================================================================================================================
Support_Data
========================================================================================================================

##### TITLE Version 113.06.93
##### TITLE SubVersion
##### TITLE Produkt Fritz_Box_HW185
##### TITLE Datum Sun Sep 23 10:44:44 CEST 2018
##### BEGIN SECTION Support_Data Supportdata Linux fritz.box 3.10.73 #1 SMP Mon Nov 27 18:31:19 CET 2017 mips GNU/Linux Version 113.06.93
Support Data
------------
Sun Sep 23 10:44:45 CEST 2018
3.10.73
HWRevision   185
HWSubRevision   6
ProductID   Fritz_Box_HW185
SerialNumber   0000000000000000
<snip>
##### BEGIN SECTION vpn VPN

VPN avmike
-------
-rw-r--r--    1 root     root         10766 Sep 23 03:30 /var/tmp/ike.log
-rw-r--r--    1 root     root         20526 Sep 22 16:36 /var/tmp/ike.old
<snip>
<import FB7490FA164-beIPFe4-Imp1.cfg>
2018-09-21 17:31:44 avmike:< add(appl=dsld,cname=xxxxxxxxxxxxxxxx.myfritz.net,localip=xx.xx.xxx.xxx, remoteip=255.255.255.255, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x8001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
2018-09-21 17:31:44 avmike:new neighbour xxxxxxxxxxxxxxxx.myfritz.net:  nat_t
2018-09-21 17:31:44 avmike:< add(appl=dsld,cname=xxxxxxxxxxxxxxxx.myfritz.net,localip=xx.xx.xxx.xxx, remoteip=255.255.255.255, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x8001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
2018-09-21 17:31:44 avmike:new neighbour xxxxxxxxxxxxxxxx.myfritz.net:  nat_t
2018-09-21 17:32:06 avmike:< add(appl=dsld,cname=xxxxxxxxxxxxxxxx.myfritz.net,localip=xx.xx.xxx.xxx, remoteip=255.255.255.255, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x8001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
2018-09-21 17:32:06 avmike:new neighbour xxxxxxxxxxxxxxxx.myfritz.net:  nat_t
2018-09-21 17:32:06 avmike:< add(appl=dsld,cname=xxxxxxxxxxxxxxxx.myfritz.net,localip=xx.xx.xxx.xxx, remoteip=255.255.255.255, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x8001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
2018-09-21 17:32:06 avmike:new neighbour xxxxxxxxxxxxxxxx.myfritz.net:  nat_t
2018-09-21 17:32:48 avmike:< add(appl=dsld,cname=xxxxxxxxxxxxxxxx.myfritz.net,localip=xx.xx.xxx.xxx, remoteip=255.255.255.255, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x8001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
2018-09-21 17:32:48 avmike:new neighbour xxxxxxxxxxxxxxxx.myfritz.net:  nat_t
2018-09-21 17:32:48 avmike:< add(appl=dsld,cname=xxxxxxxxxxxxxxxx.myfritz.net,localip=xx.xx.xxx.xxx, remoteip=255.255.255.255, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x8001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
2018-09-21 17:32:48 avmike:new neighbour xxxxxxxxxxxxxxxx.myfritz.net:  nat_t
2018-09-21 17:32:48 avmike:< add(appl=dsld,cname=FB7490FA164-beIPFe4-Imp1,localip=xx.xx.xxx.xxx, remoteip=255.255.255.255, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x8001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
2018-09-21 17:32:48 avmike:new neighbour FB7490FA164-beIPFe4-Imp1:  nat_t
<snip>
<data transfer starts>
2018-09-22 15:38:51 avmike:mainmode FB7490FA164-beIPFe4-Imp1: selected lifetime: 3600 sec(no notify)
2018-09-22 15:38:51 avmike:FB7490FA164-beIPFe4-Imp1 remote peer supported XAUTH
2018-09-22 15:38:51 avmike:FB7490FA164-beIPFe4-Imp1 remote peer supported DPD
2018-09-22 15:38:52 avmike:mainmode FB7490FA164-beIPFe4-Imp1: add SA 1
2018-09-22 15:38:52 avmike:FB7490FA164-beIPFe4-Imp1: Warning: source changed from 0.0.0.0:500 to xx.xx.xxx.xx:50104
2018-09-22 15:38:52 avmike:FB7490FA164-beIPFe4-Imp1: switching to NAT-T (Responder)
2018-09-22 15:38:52 avmike:FB7490FA164-beIPFe4-Imp1: embedded inital contact message received
2018-09-22 15:38:52 avmike:FB7490FA164-beIPFe4-Imp1: Phase 1 ready
2018-09-22 15:38:52 avmike:FB7490FA164-beIPFe4-Imp1: current=0.0.0.0 new=xx.xx.xxx.xx:50104
2018-09-22 15:38:52 avmike:FB7490FA164-beIPFe4-Imp1: no valid sa, reseting initialcontactdone flag
2018-09-22 15:38:52 avmike:FB7490FA164-beIPFe4-Imp1: local is behind a nat
2018-09-22 15:38:52 avmike:FB7490FA164-beIPFe4-Imp1: remote is behind a nat
2018-09-22 15:38:52 avmike:FB7490FA164-beIPFe4-Imp1: start waiting connections
2018-09-22 15:38:52 avmike:FB7490FA164-beIPFe4-Imp1: NO waiting connections
2018-09-22 15:38:52 avmike:FB7490FA164-beIPFe4-Imp1: Phase 2 ready
2018-09-22 15:38:52 avmike:< cb_sa_created(name=FB7490FA164-beIPFe4-Imp1,id=1,...,flags=0x00032001)
2018-09-22 15:38:52 avmike:FB7490FA164-beIPFe4-Imp1: start waiting connections
2018-09-22 15:38:52 avmike:FB7490FA164-beIPFe4-Imp1: NO waiting connections
2018-09-22 15:39:02 avmike:>>>4500 nat-t-keepalive[xx.xx.xxx.xx:50104]
2018-09-22 16:26:53 avmike:FB7490FA164-beIPFe4-Imp1: Phase 2 ready
2018-09-22 16:26:53 avmike:< cb_sa_created(name=FB7490FA164-beIPFe4-Imp1,id=2,...,flags=0x00032001)
2018-09-22 16:26:53 avmike:FB7490FA164-beIPFe4-Imp1: start waiting connections
2018-09-22 16:26:53 avmike:FB7490FA164-beIPFe4-Imp1: NO waiting connections
2018-09-22 16:27:03 avmike:>>>4500 nat-t-keepalive[xx.xx.xxx.xx:50104]
<snip>

VPN assocs
----------
/proc/kdsld/dsliface/internet/ipsec/assocs:
xxxxxxxxxxxxxxxx.myfritz.net: xx.xx.xxx.xxx:0.0.0.0 xx.xxx.xxx.xx:0.0.0.0 0 SAs  valid enabled dynlocalip
    permit ip any 172.16.0.0 255.255.255.0
    Forbidden Clients: 192.168.179.0/24
xxxxxxxxxxxxxxxx.myfritz.net: xx.xx.xxx.xxx:0.0.0.0 xx.xxx.xxx.xxx:0.0.0.0 0 SAs  valid enabled dynlocalip
    permit ip any 192.168.178.0 255.255.255.0
    Forbidden Clients: 192.168.179.0/24
FB7490FA164-beIPFe4-Imp1: xx.xx.xxx.xxx:0.0.0.0 xx.xx.xxx.xx:0.0.0.0 0 SAs  valid enabled dynlocalip
    permit ip any 172.16.1.0 255.255.255.0
    Forbidden Clients: 192.168.179.0/24

VPN connections
----------
/proc/kdsld/dsliface/internet/ipsec/connections:
xxxxxxxxxxxxxxxx.myfritz.net: pmtu 0 mtu 1492 dpd_supported dont_filter_netbios
xxxxxxxxxxxxxxxx.myfritz.net: pmtu 0 mtu 1492 dpd_supported dont_filter_netbios
FB7490FA164-beIPFe4-Imp1: pmtu 0 mtu 1492 dpd_supported dont_filter_netbios local_nat remote_nat

##### END SECTION vpn
========================================================================================================================

Nicht funktionierende FB7580, OS 07.01:
Code: 
========================================================================================================================
FB7580A25-beIPFe4-Imp1.cfg
========================================================================================================================
/* manually created 2018-09-21 hg */
/* With OS 7.00 cfg import will fail if "additional confirmation" (via phone/button) is disabled. */
/* Said to be fixed in OS 7.01 - confirmed. */
vpncfg {
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "FB7580A25-beIPFe4-Imp1";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "xxxxxxxxxxxxxx.ddnss.de";
                localid {
                        user_fqdn = "[email protected]";
                }
                remoteid {
                        user_fqdn = "[email protected]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "xxxxxxxxxxxxxxxxxxxx";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 172.16.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 172.16.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 172.16.1.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
========================================================================================================================
FB7580A25-beIPFe4-Imp1_ReadBack.cfg
========================================================================================================================
vpncfg {
        vpncfg_version = 1;
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "FB7580A25-beIPFe4-Imp1";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "xxxxxxxxxxxxxx.ddnss.de";
                keepalive_ip = 0.0.0.0;
                localid {
                        fqdn = "$$$$J3ITCDOH4SEV3BIGUZ2MIPSIDFSVV1JQUIRPAGMI13AGU1APJ5QJLOCKL6141IXHQYCWA56BHULEM3FZJNPCJYCQCNXZCRVER5KP2LT6";
                }
                remoteid {
                        fqdn = "$$$$QQITG1WNMRXTIKQLIJJYWWGIUNQSAYMEDXBHZFOSTC3FCSI3O6A2QZVOWGKJVL6U4CF14AACAPFP15NMJATQADEH14IHYI5PYILXAUL6";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "$$$$ZN4HLSCRSXCFEPEYOZYVDR12NKWC3TZPPHQNH5EF353ZNQKNCTVWAF1D1SRKF4S6IN4VVPFTQ3GN1AAA";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 172.16.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 172.16.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 172.16.1.0 255.255.255.0";
                app_id = 0;
        }
}
========================================================================================================================
Support_Data
========================================================================================================================

##### TITLE Version 153.07.01
##### TITLE SubVersion
##### TITLE Produkt Fritz_Box_HW225
##### TITLE Datum Sun Sep 23 10:14:36 CEST 2018
##### BEGIN SECTION Support_Data Supportdata Linux dslrouter 3.10.104 #2 SMP Thu Aug 30 14:42:05 CEST 2018 mips Version 153.07.01
Support Data
------------
Sun Sep 23 10:14:37 CEST 2018
3.10.104
HWRevision   225
HWSubRevision   1
ProductID   Fritz_Box_HW225
SerialNumber   xxxxxxxxxxxxxxx
<snip>
##### BEGIN SECTION vpn VPN

VPN avmike
-------
-rw-r--r--    1 root     root         19360 Sep 23 03:53 /var/tmp/ike.log
-rw-r--r--    1 root     root         20517 Sep 22 15:37 /var/tmp/ike.old
<snip>
<import FB7580A25-beIPFe4-Imp1.cfg>
2018-09-22 19:03:09 avmike:< create_sa(appl=dsld,cname=FB7580A25-beIPFe4-Imp1)
2018-09-22 19:03:09 avmike:FB7580A25-beIPFe4-Imp1: Phase 1 starting
2018-09-22 19:03:09 avmike:>>> aggressive mode [xx.xx.xxx.xx] FB7580A25-beIPFe4-Imp1: V1.0 720 IC 7e600ad2a99fd263 RC 00000000 0000 SA flags=
2018-09-22 19:03:10 avmike:FB7580A25-beIPFe4-Imp1: Warning: source changed from 0.0.0.0:500 to xx.xx.xxx.xx:500
2018-09-22 19:03:10 avmike:<<<  aggressive mode[xx.xx.xxx.xx] FB7580A25-beIPFe4-Imp1: V1.0 456 IC 7e600ad2a99fd263 RC 33e0bbb5926e8b70 0000 SA flags=
2018-09-22 19:03:10 avmike:aggressive mode FB7580A25-beIPFe4-Imp1: selected lifetime: 3600 sec(no notify)
2018-09-22 19:03:10 avmike:FB7580A25-beIPFe4-Imp1: add phase 1 SA: DH2/AES-256/SHA1/3600sec id:1
2018-09-22 19:03:10 avmike:FB7580A25-beIPFe4-Imp1 receive VENDOR ID Payload: XAUTH
2018-09-22 19:03:10 avmike:FB7580A25-beIPFe4-Imp1 receive VENDOR ID Payload: DPD
2018-09-22 19:03:10 avmike:FB7580A25-beIPFe4-Imp1 receive VENDOR ID Payload: NAT-T RFC 3947
2018-09-22 19:03:10 avmike:FB7580A25-beIPFe4-Imp1: sending embedded inital contact message (0,xx.xx.xxx.xx,0.0.0.0)
2018-09-22 19:03:10 avmike:>>> aggressive mode [xx.xx.xxx.xx] FB7580A25-beIPFe4-Imp1: V1.0 140 IC 7e600ad2a99fd263 RC 33e0bbb5926e8b70 0000 HASH flags=e
2018-09-22 19:03:10 avmike:FB7580A25-beIPFe4-Imp1: Phase 1 ready
2018-09-22 19:03:10 avmike:FB7580A25-beIPFe4-Imp1: current=0.0.0.0 new=xx.xx.xxx.xx
2018-09-22 19:03:10 avmike:FB7580A25-beIPFe4-Imp1: no valid sa, reseting initialcontactdone flag
2018-09-22 19:03:10 avmike:FB7580A25-beIPFe4-Imp1: sending initial contact message
2018-09-22 19:03:10 avmike:>r> infomode [xx.xx.xxx.xx] FB7580A25-beIPFe4-Imp1: V1.0 92 IC 7e600ad2a99fd263 RC 33e0bbb5926e8b70 2f02dbdc HASH flags=e
2018-09-22 19:03:10 avmike:FB7580A25-beIPFe4-Imp1: start waiting connections
2018-09-22 19:03:10 avmike:FB7580A25-beIPFe4-Imp1: Phase 2 starting (start waiting)
2018-09-22 19:03:10 avmike:>>> quickmode [xx.xx.xxx.xx] FB7580A25-beIPFe4-Imp1: V1.0 2300 IC 7e600ad2a99fd263 RC 33e0bbb5926e8b70 70f6fcff HASH flags=e
2018-09-22 19:03:10 avmike:<<<  quickmode[xx.xx.xxx.xx] FB7580A25-beIPFe4-Imp1: V1.0 332 IC 7e600ad2a99fd263 RC 33e0bbb5926e8b70 70f6fcff HASH flags=e
2018-09-22 19:03:10 avmike:>>> quickmode [xx.xx.xxx.xx] FB7580A25-beIPFe4-Imp1: V1.0 60 IC 7e600ad2a99fd263 RC 33e0bbb5926e8b70 70f6fcff HASH flags=e
2018-09-22 19:03:10 avmike:FB7580A25-beIPFe4-Imp1: Phase 2 ready
2018-09-22 19:03:10 avmike:NEW Phase 2 SA: ESP-AES-256/SHA1 SPI: 8346E3C9 LT: 3600 I/O: IN
2018-09-22 19:03:10 avmike:NEW Phase 2 SA: ESP-AES-256/SHA1 SPI: 17CFAC66 LT: 3600 I/O: OUT
2018-09-22 19:03:10 avmike:NEW Phase 2 SA: IPComp-LZJH SPI: 7B2C LT: 3600 I/O: IN
2018-09-22 19:03:10 avmike:NEW Phase 2 SA: IPComp-LZJH SPI: 6E0D LT: 3600 I/O: OUT
2018-09-22 19:03:10 avmike:< cb_sa_created(name=FB7580A25-beIPFe4-Imp1,id=1,...,flags=0x00002101)
2018-09-22 19:03:10 avmike:FB7580A25-beIPFe4-Imp1: start waiting connections
2018-09-22 19:03:10 avmike:FB7580A25-beIPFe4-Imp1: NO waiting connections
2018-09-22 19:57:10 avmike:wolke_neighbour_renew_sa 1 SAs
2018-09-22 19:57:10 avmike:>>> aggressive mode [xx.xx.xxx.xx] FB7580A25-beIPFe4-Imp1: V1.0 720 IC 33b7714ac4aff8f0 RC 00000000 0000 SA flags=
2018-09-22 19:57:10 avmike:<<<  aggressive mode[xx.xx.xxx.xx] FB7580A25-beIPFe4-Imp1: V1.0 456 IC 33b7714ac4aff8f0 RC 2ca31f9ad315ae3 0000 SA flags=
2018-09-22 19:57:10 avmike:aggressive mode FB7580A25-beIPFe4-Imp1: selected lifetime: 3600 sec(no notify)
2018-09-22 19:57:10 avmike:FB7580A25-beIPFe4-Imp1: add phase 1 SA: DH2/AES-256/SHA1/3600sec id:2
2018-09-22 19:57:10 avmike:FB7580A25-beIPFe4-Imp1 receive VENDOR ID Payload: XAUTH
2018-09-22 19:57:10 avmike:FB7580A25-beIPFe4-Imp1 receive VENDOR ID Payload: DPD
2018-09-22 19:57:10 avmike:FB7580A25-beIPFe4-Imp1 receive VENDOR ID Payload: NAT-T RFC 3947
2018-09-22 19:57:10 avmike:>>> aggressive mode [xx.xx.xxx.xx] FB7580A25-beIPFe4-Imp1: V1.0 108 IC 33b7714ac4aff8f0 RC 2ca31f9ad315ae3 0000 HASH flags=e
2018-09-22 19:57:10 avmike:FB7580A25-beIPFe4-Imp1: Phase 1 ready
2018-09-22 19:57:10 avmike:FB7580A25-beIPFe4-Imp1: current=xx.xx.xxx.xx new=xx.xx.xxx.xx
2018-09-22 19:57:10 avmike:FB7580A25-beIPFe4-Imp1: start waiting connections
2018-09-22 19:57:10 avmike:FB7580A25-beIPFe4-Imp1: NO waiting connections
2018-09-22 20:03:10 avmike:FB7580A25-beIPFe4-Imp1: del phase 1 SA 1
2018-09-22 20:03:10 avmike:< delete_sa(appl=dsld,cname=FB7580A25-beIPFe4-Imp1,id=1,what=7,reason=Lifetime expired)
2018-09-22 20:03:10 avmike:FreeIPsecSA: spi=8346E3C9       protocol=3 iotype=1
2018-09-22 20:03:10 avmike:FreeIPsecSA: spi=7B2C       protocol=4 iotype=1
2018-09-22 20:03:10 avmike:FreeIPsecSA: spi=17CFAC66       protocol=3 iotype=2
2018-09-22 20:03:10 avmike:FreeIPsecSA: spi=6E0D       protocol=4 iotype=2
2018-09-22 20:57:10 avmike:FB7580A25-beIPFe4-Imp1: del phase 1 SA 2
2018-09-22 20:59:10 avmike:FB7580A25-beIPFe4-Imp1: no SAs found, stopping dyndnscheck
2018-09-23 03:53:53 avmike:<<<  identity protection mode[216.218.206.110:54136] ???: V1.0 64 IC 3e35c70729dfedef RC 00000000 0000 SA flags=
2018-09-23 03:53:53 avmike:no phase1ss for cert users configured
2018-09-23 03:53:53 avmike:216.218.206.110:54136: new_neighbour_template failed

VPN assocs
----------
/proc/kdsld/dsliface/internet/ipsec/assocs:
xxxxxxxxxxxxxxxx.myfritz.net: xx.xxx.xxx.xx:0.0.0.0 xx.xx.xxx.xxx:0.0.0.0 0 SAs  valid enabled dynlocalip
    permit ip any 192.168.164.0 255.255.255.0
    Forbidden Clients: 192.168.179.0/24
xxxxxxxxxxxxxxxx.myfritz.net: xx.xxx.xxx.xx:0.0.0.0 xx.xxx.xxx.xxx:0.0.0.0 0 SAs  valid enabled dynlocalip
    permit ip any 192.168.178.0 255.255.255.0
    Forbidden Clients: 192.168.179.0/24
FB7580A25-beIPFe4-Imp1: xx.xxx.xxx.xx:0.0.0.0 xx.xx.xxx.xx:0.0.0.0 0 SAs  valid enabled dynlocalip
    permit ip any 172.16.1.0 255.255.255.0
    Forbidden Clients: 192.168.179.0/24

VPN connections
----------
/proc/kdsld/dsliface/internet/ipsec/connections:
xxxxxxxxxxxxxxxx.myfritz.net: pmtu 0 mtu 1492 dpd_supported dont_filter_netbios
xxxxxxxxxxxxxxxx.myfritz.net: pmtu 0 mtu 1492 dpd_supported dont_filter_netbios
FB7580A25-beIPFe4-Imp1: pmtu 0 mtu 1492 dpd_supported dont_filter_netbios

##### END SECTION vpn
========================================================================================================================

Ich hoffe, daraus wird jemand schlau...
Gruss -hg
 
Zuletzt bearbeitet:
Die Konfiguration der be.IP ist genau wie hier https://www.router-forum.de/bintec/...n-bintec-und-avm-fritzbox.t64371/#post-299606 im Bild "bintec-vpn-fritzbox-jpg" (ist dort 3x verlinkt) mit der einen Ausnahme, dass ich bei IKE Erreichbarkeitsprüfung anstelle von Automatische Erkennung -> Dead Peer Detection (Idle) eingetragen habe [lt. bintec FAQ].
Zusätzlich muss man noch die VPN- (IPSec-) Schnittstellen in der Firewall als IPv4-Adressgruppe anlegen, sonst wird zwar der Tunnel aufgebaut, aber die SIF lässt die Daten nicht durch.
-hg
 
drummer1154 schrieb:
leider löscht die Forum-SW konsekutive Blanks, sodass die Einrückungen verloren gehen
Zum Vergrößern anklicken....
Das macht sie nicht, wenn man die betreffenden Zeilen in einen "CODE"-Block einschließt, wie es in vielen anderen Beiträgen in diesem Board zu sehen ist. Das funktioniert (nur nebenbei) auch nachträglich und steigert die Chance, daß sich andere das auch wirklich ansehen, erheblich. Es war zwar sicherlich viel Arbeit, das Ganze oben mit einem "monospaced font" zu formatieren, aber lesbar ist das damit halt immer noch nicht so richtig.

Wer das mit dem "inline editor" bearbeitet, findet solche "speziellen Tags" hinter dem Symbol links von der Diskette, die merkwürdigerweise immer noch als Symbol für "Speichern" gilt, obwohl vermutlich niemand mehr Datenträger mit dieser "density" verwendet heutzutage.
 
Danke für den Hinweis mit CODE - hatte es zuvor nicht gefunden und ich habe sowieso alles vorher offline editiert, um nicht in die Timeout-Falle zu tappen...
 
Versuche es mal mit
Code: 
editable = no;
Ich hatte damit mal Ärger, da die "Bordmittel" dies iirc auf "no" setzen.
LG
 
drummer1154 schrieb:
Funktionierende FB7490, OS06.93:
Code: 
========================================================================================================================
FB7490FA164-beIPFe4-Imp1.cfg
========================================================================================================================
/* manually created 2018-09-21 hg */
SNIP
}

========================================================================================================================
FB7490FA164-beIPFe4-Imp1i_ReadBack.cfg
========================================================================================================================
SNIP
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
Zum Vergrößern anklicken....

Frage: Warum fehlt der Parameter "ike_forward_rules" in der "manually created" vpn.cfg ?
 
Wahrscheinlich folgen der LAN2LAN-Verbindung noch ein paar Fritz!APP-User?
Die ike_forward_rules stehen imho gaanz unten/am Ende? Zumindest haben sie sich bei mir dorthin verdrückt.
LG
 
sulihari schrieb:
Hier mal exemplarisch die config und der output für eine nicht mehr funktionierende Verbindung.
FW 7.01
Code: 
vpncfg {
SNIP
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.10.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.11.0 255.255.255.0";
} ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500";
}
Zum Vergrößern anklicken....
und wo ist die Section mit
Code: 
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.11.0;
                                mask = 255.255.255.0;
                        }
                }

???

Sorry, aber da sind so viele Abweichungen von AVM-Vorgaben, unklar ob diese Configs supported sind;
da bin ich raus.
 
sulihari schrieb:
Im konkreten Fall ist auf der anderen Seite ein Draytek Vigor 2860+ mit FW 3.8.5.
Zum Vergrößern anklicken....
Schau Dir mal die Einstellungen im Vigor für P2 genauer an ... wenn ich das Protokoll oben richtig interpretiere (dessen Lesbarkeit allerdings auch nicht besser ist als bei @drummer1154), dann reagiert der Vigor zwischendrin mit einer "info exchange" message (RFC 2409, Punkt 5.7), mit der man u.a. auch SAs "löschen" kann. Die Frage wäre, woher die kommt ... und ob meine Annahme, die neuen Protokoll-Einträge bei AVM würden tatsächlich "<<<" für "empfangen" und ">>>" für "gesendet" verwenden (dazu wäre ein Vergleich mit einem Packet-Dump notwendig und sinnvoll) überhaupt stimmt.

@All:
Über die "ike_forward_rules" in den Konfigurationsdateien würde ich mir erst mal nicht den Kopf zerbrechen ... wenn die Berichte stimmen (ich habe noch gar keine Zeit gehabt, das selbst zu testen), dann interessiert sich das FRITZ!OS gar nicht mehr dafür, was in diesem Eintrag (der wird ja zur Speicherung in der "/var/flash/vpn.cfg" dann für alle Verbindungen zusammengefaßt) steht und man kann deshalb dort auch keine "abweichenden" Portfreigaben für andere Dienst auf der Box mehr eintragen (bzw. eintragen vielleicht schon, sie werden nur nicht wirksam).
 
Shirocco88 schrieb:
Frage: Warum fehlt der Parameter "ike_forward_rules" in der "manually created" vpn.cfg ?
Zum Vergrößern anklicken....
Weil ich nur eine zusätzliche VPN-Verbindung zu den existierenden MyFritz-Verbindungen in der FB7490 mit OS06.93 hinzugefügt habe. In den Settings (siehe *_ReadBack.cfg) ist der Parameter in OS06.92 sehr wohl vorhanden, in OS07.01 jedoch nicht. Aber ich vermute, dass PeterPawn Recht hat: Im OS07.x wird der Parameter offenbar nicht mehr verwendet und daher auch nicht aus der .cfg übernommen, ist vermutlich also kein Problem.

Das eigentliche Problem sehe ich darin, dass offenbar die 07.x das E-Mail-Format als ID nicht mehr unterstützt; gibt es dafür eine Erklärung?
 
Zuletzt bearbeitet:
Wenn AVM das (für LAN2LAN-Verbindungen) ausgebaut hat (vielleicht, um Mißverständnisse (mit LAN2USER-Verbindungen) zu vermeiden?), muß man eben zu einem anderen Wert für den "Identification Type" (RFC 2407, Punkt 4.6.2) greifen und wenn AVM den beim Import schon so kühn in "fqdn" ändert (was sicherlich "ID_FQDN" aus dem RFC und somit dem Wert "2" entspricht), würde ich halt auch erst mal mit passenden IDs arbeiten ... zumal die ja (wie ich schon mehrfach betont habe) mit irgendwelchen E-Mail-Adressen oder DNS-Namen außer dem Format nichts gemein haben.

Man kann also bei "fqdn" irgendetwas Passendes angeben (früher bestand mal der Verdacht, daß die (mDNS-)Dömane ".local" besonders behandelt würde), solange die Angaben "über Kreuz" passen - jedenfalls solange man die Dateien selbst erstellt.

Ansonsten setzt(e) AVM halt "remotehostname" und "fqdn" für den Peer auf denselben Wert (und vorzugsweise auch noch den eigenen auf die MyFRITZ!-Adresse, wenn man sowohl MyFRITZ! als auch einen eigenen DynDNS-Provider konfiguriert hatte) und es gibt keine Möglichkeit, die irgendwie getrennt einzustellen.

Das gilt wohl immer noch in FRITZ!OS 7, denn die Eingabemaske hat sich ja nicht geändert und wer eine Box als passiven Responder konfigurieren will, hat auch immer noch nur ein einziges Feld (Internet-Adresse) für die P1-ID und den DynDNS-Namen (bzw. die IP-Adresse, denn das trennt AVM wohl schon noch richtig) ... damit bleibt ihm weiterhin nichts anderes übrig, als solche Szenarien von Hand zu konfigurieren.

Wobei die VPN-Konfiguration insgesamt schon noch eine ziemlich "große, eiternde Wunde" ist ... denn man kann über das GUI problemlos auch folgenden Unsinn konfigurieren:
Code: 
# cat /var/flash/vpn.cfg
/*
 * /var/flash/vpn.cfg
 * Sun Sep 23 14:05:49 2018
 */

meta { encoding = "utf-8"; }

vpncfg {
        vpncfg_version = 1;
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "192.168.131.1";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 192.168.131.1;
                remote_virtualip = 0.0.0.0;
                keepalive_ip = 0.0.0.0;
                remoteid {
                        ipaddr = 192.168.131.1;
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "$$$$5Q235XGRMEN4KJXZY6GFANIXJ1J12AOSP1WPFUP1DVP6THZSI6QBXEYR1FUB6NSDBA1XHCCYDYA31AAA";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.131.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.131.0 255.255.255.0";
                app_id = 0;
        }
}


// EOF
#
Da hat dann also der Peer (angeblich) eine IP-Adresse aus seinem eigenen LAN-Pool ... das könnte etwas schwierig werden bei der Verbindungsaufnahme.

Aber auch so etwas läßt sich konfigurieren:
Code: 
# cat /var/flash/vpn.cfg
/*
 * /var/flash/vpn.cfg
 * Sun Sep 23 14:10:47 2018
 */

meta { encoding = "utf-8"; }

vpncfg {
        vpncfg_version = 1;
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "192.168.133.1";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 192.168.133.1;
                remote_virtualip = 0.0.0.0;
                keepalive_ip = 0.0.0.0;
                remoteid {
                        ipaddr = 192.168.133.1;
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "$$$$HTCIOB3U3PDMCWE6IXT354KGJILW3V3HIGFLHUQBYZM3BUQDLWOHENPC4RTB6CHRXMP5XKXDXVOUIAAA";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.133.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.133.0 255.255.255.0";
                app_id = 0;
        }
}
// EOF
#
und in Anbetracht der Tatsache, daß die WAN-Adresse dieser Box (auch zum Zeitpunkt des Eintragens dieser VPN-Verbindung über das GUI) sich im Netz 192.168.133.0/24 befand, funktioniert natürlich mit dieser Konfiguration auch gar kein WAN-Zugriff mehr, weil ja alle Daten zum Gateway (das natürlich ebenfalls in 192.168.133.0/24 liegt) verschlüsselt werden sollen und zwar über einen gar nicht aufgebauten Tunnel. (EDIT) sollte das (m.E.) besser nicht konfigurierbar sein. Pakete über das "default WAN gateway" gehen allerdings - auch dank der "Zweiteilung" des IP-Stacks bei AVM in LAN und WAN, wo der WAN-Part trotz XFRM noch auf das Sub-Netz zugreifen kann - noch durch, weil die ja keine Zieladresse in 192.168.133.0/24 tragen und deshalb nicht direkt zur Transformation selektiert werden). (/EDIT)

Da ist es mit der "easy configuration" für den Benutzer also noch nicht so richtig weit her ... es fehlen nicht nur sinnvolle Einstellmöglichkeiten (eben die angesprochene Trennung von ID und DNS-Namen, zumindest für "runaways"), sondern auch essentielle Plausibilitätsprüfungen - das kann man einerseits gut finden, weil es noch genug Eingriffsmöglichkeiten offenläßt, aber andererseits muß man für "vernünftige VPN-Konfiguration" häufig ja ohnehin zur Datei greifen und da wäre eine etwas mehr auf Anfänger ausgerichtete Oberfläche ja vielleicht doch keine soo schlechte Idee, selbst wenn sie den "Profi" dann noch mehr beschränkt in seinen Optionen, als sie das im Moment schon tut.
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 563 (Mitglieder: 7, Gäste: 556)

Neueste Beiträge

Statistik des Forums

Themen
246,096
Beiträge
2,246,047
Mitglieder
373,574
Neuestes Mitglied
Heselmeck
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück