Fritz.Box als Ciso-Client

[Sascha999999999]

Hallo,

ich versuche gerade die Fritz.Box als client für das Hochschul VPN zu konfigurieren hier meine fritzbox.cfg:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "HochschuleOstwestfalenLippe";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = vpn.hs-owl.de;
                remoteid {
                        user_fqdn = "skim";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "******";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid=yes;
                        username="**********";
                        passwd="********";
                }
                use_cfgmode = yes;
                phase2ss = "esp-all-all/ah-all/comp-all/no-pfs";
                accesslist = "permit ip any 193.16.112.5 255.255.255.192";
        } 
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF

Die ".pcf" vom Cisco export/import:

[main]
Description=Hochschule Ostwestfalen-Lippe
Host=vpn.hs-owl.de
AuthType=1
GroupName=skim
GroupPwd=
enc_GroupPwd=****
EnableISPConnect=0
ISPConnectType=0
ISPConnect=
ISPPhonebook=
ISPCommand=
Username=****
SaveUserPassword=0
UserPassword=
enc_UserPassword=
NTDomain=
EnableBackup=0
BackupServer=
EnableMSLogon=1
MSLogonType=0
EnableNat=1
TunnelingMode=0
TcpTunnelingPort=10000
CertStore=0
CertName=
CertPath=
CertSubjectName=
CertSerialHash=00000000000000000000000000000000
SendCertChain=0
PeerTimeout=90
EnableLocalLAN=1
UseLegacyIKEPort=1

Ich hoffe Ihr könnt helfen.

Nachtag:
In der Übersicht steht: VPN nicht aufgebaut, HochschuleOstwestfalenLippe
VPN Übersicht:
Aktiv: Haken
Name: HochschuleOstwestfalenLippe
Adresse im Internet: [leer]
lokales Netz: [leer]
entferntes Netz: [leer]
Status: [grauer punkt]

Gruß
Sascha999999999

 

[frank_m24]

Hallo,

warum ist NAT-T an? Und offensichtlich hast du das Gruppenpasswort nicht eingetragen. Bist du sicher, dass das Subnetz so klein ist? Und warum ist es ein öffentliches?

 

[Sascha999999999]

nat_t, da die Fritz.Box keine direkte verbindung herstellt, sondern über ein NAT gerät die Verbindung zum Internet herstellt, deshalb wollte ich NAT Traversal aktivieren, habe es testweise deaktiviert, keine Änderrung.

sorry, das Gruppenpassort haben ich bei mir eigetragen (unter key, ist das villeicht falsch?), aus datenschutzgründen aber nicht veröffentlicht.

Das Subnet habe ich jetzt auf 193.16.0.0 255.255.0.0 geändert, auch ohne Änderrung.

Gruß
Sascha

 

[frank_m24]

Hallo,

Mittlerweile hast du bei "key" Sternchen eingefügt, das war noch nicht da, als ich den Beitrag gelesen habe. Kleiner Schelm.

Unterstützt die Gegenstelle auch NAT-T?

Bist du dir sicher, dass dort ein Netz öffentlicher IP-Adressen über VPN verteilt wird?

 

[Sascha999999999]

ja, NAT-T sollte eigendlich unterstützt werden (werde das aber nochmal vom skim bestätigen lassen).

Es werden 193.16.112.5 255.255.255.192 adressen verteilt. Und Adressen die Addressiert werden (verfügbar gemacht werden) sind im 193.16.0.0 255.255.0.0 Bereich, z.B. 193.16.123.7 oder 193.16.121.103.

Nachtrag:
EnableNat=1 aus dem Cisco-Client (funktioniert aus der selben Netzposition wie die Fritz.Box) wird im GUI so übersetzt:
Transport:
> Enable Transparent Tunneling
> > IPSec over UDP (NAT/PAT)

Gruß
Sascha

 

[frank_m24]

Hallo,

Ich habe grad noch mal Specs gewälzt. Das Subnetz wird nicht für die Authentifizierung herangezogen, sondern es dient nur dazu, dass die Fritzbox weiß, wann sie die Verbindung aufbauen muss. Also ist 193.16.0.0 255.255.0.0 die bessere Wahl. Immer bei einem Zugriff auf das Netz, welches dort unten angegeben wird, wird die Verbindung aufgebaut.

Womit wir beim Thema sind. Wie hast du den Verbindungsaufbau getriggert? Von allein kommt die VPN Verbindung nicht, sondern erst bei Bedarf.

 

[Sascha999999999]

Ich denkte auch 255.255.0.0 ist die bessere Wahl.

Habe versucht eine IP aus dem "accesslist" IP-Bereich zu erreichen (per Ping und HTTP Aufruf).

Im Fritz.Box log ist nicht von VPN zu finden.

Gruß
Sascha

 

[frank_m24]

Hallo,

hmm, es wird eng. In der Konfiguration kann ich so keinen Fehler mehr erkennen. Alle deine Angaben sind schlüssig.

Ich betreibe selber in meiner Box einen Zugang zu einem Cisco VPN Server, und habe keinerlei Probleme damit. Unterschied: Bei mir hängt die Box direkt am Netz, nicht über einen NAT Router. Ich könnte mir vorstellen, dass es dort ein Problem gibt. Welcher Router hängt denn vor der Fritzbox? Hat der korrektes VPN Passthrough?

 

[Sascha999999999]

ein TP-LINK, VPN Passthrough voll ist aktiviert.

Ist das normal das kein fehler im Fritz.Box log angezeigt wird?

Gruß
Sascha

 

[frank_m24]

Hallo,

ja, mit Fehlermeldungen hält sich die Fritzbox immer sehr zurück. Da kannst du eigentlich nur beim Cisco was auslesen.

Kannst du die Fritzbox testweise an die öffentliche IP bringen?

 

[Sascha999999999]

Ohne hier alles umzuändern nicht so einfach, werde das und ein Downgrade von .87 auf .80 aber in Angriff nehmen. Die Version .87 ist total verbugt, so wie man es sonst garnicht von AVM kennt.

Gruß
Sascha

 

[frank_m24]

Hallo,

ich würde vorm Downgrade noch kurz einen VPN Test mit der öffentlichen IP machen. Dann kannst du hinterher vergleichen, welche besser für VPN funktioniert, 04.80 oder 04.87. Es ist denkbar, dass sich dort was verändert hat.

 

[Sascha999999999]

Schonmal einen Schritt weiter:
Habe die Verbindung per UMTS hergestellt, jetzt wird im VPN Menü folgendes angezeigt:
Aktiv: Haken
Name: HochschuleOstwestfalenLippe
Adresse im Internet: 255.255.255.255
lokales Netz: [leer]
entferntes Netz: [leer]
Status: [grauer punkt]

Außerdem steht jetzt bei jedem Verbindungsversuch:
VPN-Fehler: HochschuleOstwestfalenLippe, IKE-Error 0x2027

0x2027 also timeout.

Welche Einstellung kann das sein?

Nachtrag:
Kann es sein das der VPN-Client die VPN-Regeln beachtet, den vpn.hs-owl.de wird mit 193.16.112.190 aufgelöst liegt also auch in 193.16.0.0 255.255.0.0.

Gruß
Sascha

 

[frank_m24]

Hallo,

Das ist ungewöhnlich, dass die IP des VPN Servers im Bereich der verteilten Adressen liegt. Dann will der Client anschließend die Daten zum Server durch den Tunnel schicken, was natürlich nicht klappen kann.

255.255.255.255 kann natürlich nicht stimmen. Dort müsste die aufgelöste Adresse des VPN Servers stehen.

 

[Sascha999999999]

habe jetzt per "reject ip any 193.16.112.190 255.255.255.255" die IP-Adresse des Servers einfach ausgeschlossen.

Fehler im Fritz.Box log ist jetzt:
VPN-Fehler: HochschuleOstwestfalenLippe, IKE-Error 0x2020

Also ein "hash mismatch in received packet" fehler, es scheint also so als würde die Konfiguration nochnicht mit dem Cisco VPN Server harmonieren, wodran kann das liegen?

Nachtrag:
Wie es scheint schlägt Phase1 fehl, ist remoteid->user_fqdn der gruppenname und key das gruppenpasswort?

Gruß
Sascha

 

[frank_m24]

Hallo,

Wie es scheint schlägt Phase1 fehl, ist remoteid->user_fqdn der gruppenname und key das gruppenpasswort?

Ja, das stimmt.

Ein Hash Mismatch könnte durch das AH Protokoll ausgelöst werden. AH ist aber generell nicht NAT fähig, von daher sollte das nicht aktiv sein.

 

[Sascha999999999]

Habe NAT-T testweise deaktiviert (die Fehlermeldung bleibt die selbe). Die direkte Internetverbindung besteht weiterhin per UMTS (welche fehlermedung liefert UMTS ohne NAT-T normalerweise?), werde mal AH deaktivieren und versuchen zu ESP zu drängen, glaube aber nicht das es ohne AH funktoniert.

Ich habe morgen einen Termin beim Skim (Hochschul IT-Service), werde dort mal fragen ob spezifische Protokolle benötigt werden.

G.f. hillft es villeicht die UMTS traffic zu sniffern, werde das mal testen.

Was kann man sonst noch machen?

Nachtrag:
Habe jetzt testweise AH deaktiviert und divirse Protokolle getestet, ohne Erfolg.

Nachtrag:
Habe jetzt erfahren es wird:
NAT Traversal Mode: cisco-udp
benötigt.

"Cisco UDP Encapsulation" also "IPSec over UDP" satt "NAT-T" wie kann man das bei der Fritz.Box konfigurieren?

Gruß
Sascha

 

[Sascha999999999]

kann jemand bitte einen Sniff von einem Verbindungsvorgang zu einem Cisco VPN-Server hochladen? Ich bekommen immer 2 IPSEC verbindungen, wo liegt der Fehler?

Im Anhang ist mein Sniff.

Gruß
Sascha

 

[Logatom]

Ich würde gerne Deinen Thread aufgreifen um selbst eine Frage zu stellen.
Vielleicht hilft Dir meine config etwas.

Also soweit läuft meine VPN-Verbindung, aber:
Ziel ist das Umgehen einer symetrischen NAT, damit die Box über eine IP aus dem VPN Pool aus erreichbar ist.
Leider kann ich keine NAT Regeln für Netwerkgeräte an der FritzBox vergeben bzw. sie greifen nicht,
d.h. Anfragen von außen gehen immer direkt an die FritzBox selbst.
Habe schon mit nat_t herum probiert, aber bisher ohne Erfolg....

meine config:

vpncfg {
	connections {
		enabled = yes;
		conn_type = conntype_lan;
		name = "Test";							//Name der Verbindung (keine Zugangsdaten)
		always_renew = yes;
		reject_not_encrypted = no;					//Internetnutzung während VPN verbieten 
		dont_filter_netbios = yes;					//Sämtliches NetBIOS ausgehend Filtern 
		localip = 0.0.0.0;
		local_virtualip = 0.0.0.0;
		remoteip = 123.123.123.123;					//IP-Adresse der Gegenstelle
		localid {
			user_fqdn = "****";					//CISCO-Gruppenname (IKE-Phase 1)
		}
		mode = phase1_mode_aggressive;					//Modus der IKE-Phase 1 (Agressive) 
		phase1ss = "alt/aes/sha";					//Sicherheitsstrategie IKE-Phase 1 
		keytype = connkeytype_pre_shared;

		key = "****";							//CISCO-Gruppenkennwort
		cert_do_server_auth = no;					//Zertifikate statt preshared Key
		use_nat_t = yes;
		use_xauth = yes;						//Verwendung von XAUTH
			xauth {
				valid = yes;
				username = "****";				//Anmeldung beim Radius-Server 
				passwd   = "****";
			}
		use_cfgmode = yes;						//virtuelle IP von Gegenstelle + autom. NAT
		phase2ss = "esp-all-all/ah-all/comp-all/no-pfs";		//Sicherheitsstrategie IKE-Phase 2 (IPSEC)
		accesslist = 	"permit ip any 123.123.123.0 255.255.255.0";	//Durch VPN geroutete Verbindungen (nur Bsp.)
	}
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

 

[frank_m24]

Hallo,

ich glaube, da verwechselst du was. Die Box ist im Falle einer Cisco VPN Verbindung selber nur Client, es ist keine Lan-Lan Verbindung. D.h, die Box nattet ihre Clients ins VPN Netz, nicht umgekehrt. Aus dem VPN Netz kannst du also nur die Box selber erreichen, aber keine Geräte, die an ihr hängen. Die nat_t Einstellung hilft nur, wenn der VPN Tunnel über einen NAT Router läuft, auf den Tunnel an sich hat sie keine Auswirkung.