FritzBox VPN Keepalive und SHA2

[roadruner2k]

Hallo zusammen,

ich betreibe 12 FritzBoxen (Typ: 7590, 7490, 4020) die sich per VPN auf eine Cisco ASA Verbinden und darüber ein gemeinsames Netzwerk herstellen.
Wenn es aber zu Verbindungsabbrüchen kommt dauert es oft über 30Min bis die FB merkt das der VPN Tunnel tot ist und ihn erneut aufbaut.
Die Zeit möchte ich gerne senken. Dazu kann ich aber nichts finden! Jemand eine Idee?

2te Frage (weniger wichtig): Die FB soll auch SHA2-512 (Sowohl in IKE-Phase 1 als auch 2). Leider bekomme ich das nicht hin! Hat das schon jemand funktionsfähig geschafft?
Wie wäre dafür die Parameter? (phase1ss & phase2ss)

Gruß
Sebastian

 

[eisbaerin]

Poste mal deine vpn.cfg und die ike.log + ike.old.
Warum bricht die Verbindung ab?

Zu 2.:
Ja, läuft bei mir zwischen 2 FB (7362SL und 7580). Mit älteren FB geht das nicht (7170 bis 7390, 7272).
Parameter sind default.
Welche Parameter nutzt du?
Du kannst auch in der ipsec.cfg nachschauen, ob es für deine Parameter vorhanden ist.

 

[roadruner2k]

Hallo Eisbär!
Also ich nutze aktuell in den FB phase1ss = "LT8h/all/all/all"; sowie phase2ss = "esp-all-all/ah-none/comp-all/pfs";
Jedoch muss ich grade festellen das die Cisco ASA nur SHA im IKEv1 beherscht! Es geht als garnicht mehr in meinem Setup!! Da muss ich wohl mit Cisco noch mal ein ernstes Wort reden. LOL

Bleibt noch das Problem, das der Tunnel nach Abbruch erst 30-40 Min braucht, bis die FB erkennt das der Tunnel neu aufgebaut werden muss.

Gruß
Sebastian

 

[eisbaerin]

Ich hatte in #2 noch ergänzt.

Ja, deine Parameter unterstützen SHA2.
Warum wurde phase1ss geändert? Default steht da all/all/all.

phase2ss steht bei dir auf default.

 

[meiser79]

Hast du Keepalive aktiviert, mit "keepalive_ip = 192.168.178.1;" in der vpn.cfg? IP-Adresse ist die der Gegenseite.

Wenn du deine vpn.cfg hier postest, müssen wir nicht so viel raten. ;-)

 

[roadruner2k]

Eine keepalive_ip habe ich konfiguriert. Eine IP die auch nur durch den Tunnel erreichbar ist.
In meiner Konfig ist so einiges nicht Standard. Wenn ich die hier posten würde gäb es da so einiges zu diskutieren was aber nicht ziehlführend ist.

Wie komme ich am einfachsten an die ike.log + ike.old?

vpncfg {
vpncfg_version = 1;
connections {
enabled = yes;
editable = no;
conn_type = conntype_lan;
name = "MY-NAME-Location-01";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = no;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = My-Public-VPN-GW-IP;
remote_virtualip = 0.0.0.0;
keepalive_ip = Private-IP;
localid {
XXXXXXX;
}
remoteid {
ipaddr = "My-Public-VPN-GW-IP";
}
mode = phase1_mode_aggressive;
phase1ss = "LT8h/all/all/all";
keytype = connkeytype_pre_shared;
key = "Secred-Key";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = local-IP-Network;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = My-ACL;
app_id = 0;
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

 

[eisbaerin]

In der Support-Datei.

 

[roadruner2k]

Hier das was ich im Support gefunden habe: