FritzBox zu StrongSwan VPN Server verbinden

[DannyP]

Hallo zusammen,

ich möchte gerne einen StrongSwan VPN Server aufbauen, zu dem sich mehrere Fritzboxen verbinden können. Ich bekomme aber keine Verbindung aufgebaut :-(

Zuerstmal zum Server:
Der Server ist ein Linux Debian, der unter Hyper-V auf einem Windows 2012 R2 Server läuft. Er ist erreichbar über:
öffentliche IP: 138.201.xxx.xxx
FQDN: vpn.domain.de

Begonnen habe ich mit der ersten Fritzbox:
Modell: 7490
FQDN: standort1.domain.de (wird per DDNS immer auf die öffentliche IP der Fritzbox gesetzt)
Subnet: 192.168.1.0/24

Folgende Konfiguration habe ich auf dem Server:

# ipsec.conf - strongSwan IPsec configuration file
config setup
conn FritzBoxStandort1
       left=138.201.xxx.xxx
       leftsubnet=192.168.5.0/24
       ike=aes128-sha-modp1024
       esp=aes128-sha1
       right=standort1.domain.de
       [email protected]
       rightsubnet=192.168.1.0/24
       ikelifetime=4h
       keylife=1h
       authby=secret
       auto=add

# ipsec.secrets - strongSwan IPsec configuration file
138.201.xxx.xxx @standort1.domain.de : PSK "ganzGeheim!!"

In die Fritzbox habe ich die folgende Konfiguration importiert:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "138.201.xxx.xxx";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 138.201.xxx.xxx;
                remote_virtualip = 0.0.0.0;
                localid {
                        fqdn = "standort1.domain.de";
                }
                remoteid {
                        ipaddr = 138.201.xxx.xxx;
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "ganzGeheim!!";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.5.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.5.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

IPSec kann auf dem Server ohne Fehler gestartet werden.
In der Fritzbox sehe ich allerdings nur die Meldung

[TABLE="class: zebra printBlock"]
[TR]
[TD="class: fix"]01.06.16
[/TD]
[TD="class: fix"]23:32:31[/TD]
[TD][URL="http://fritz.box/help/help.lua?sid=475b2ec3bc41d184&helppage=hilfe_syslog_122.html"]VPN-Fehler: 138.201.xxx.xxx, IKE-Error 0x1c [8 Meldungen seit 01.06.16 23:14:33][/URL][/TD]
[/TR]
[/TABLE]

Auf dem Server finde ich keine Meldung im Log.

Starte ich die Verbindung vom Server aus, steht im Log:

Jun  1 23:43:09 srv charon: 09[IKE] initiating IKE_SA FritzBoxStandort1[1] to 77.11.36.abc
Jun  1 23:43:09 srv charon: 09[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
Jun  1 23:43:09 srv charon: 09[NET] sending packet: from 138.201.xxx.xxxx[500] to 77.11.36.abc[500] (940 bytes)
Jun  1 23:43:13 srv charon: 11[IKE] retransmit 1 of request with message ID 0
Jun  1 23:43:13 srv charon: 11[NET] sending packet: from 138.201.xxx.xxxx[500] to 77.11.36.abc[500] (940 bytes)
Jun  1 23:43:20 srv charon: 12[IKE] retransmit 2 of request with message ID 0
Jun  1 23:43:20 srv charon: 12[NET] sending packet: from 138.201.xxx.xxxx[500] to 77.11.36.abc[500] (940 bytes)
Jun  1 23:43:33 srv charon: 04[IKE] retransmit 3 of request with message ID 0
Jun  1 23:43:33 srv charon: 04[NET] sending packet: from 138.201.xxx.xxxx[500] to 77.11.36.abc[500] (940 bytes)
Jun  1 23:43:56 srv charon: 02[IKE] retransmit 4 of request with message ID 0
Jun  1 23:43:56 srv charon: 02[NET] sending packet: from 138.201.xxx.xxxx[500] to 77.11.36.abc[500] (940 bytes)
Jun  1 23:44:38 srv charon: 01[IKE] retransmit 5 of request with message ID 0
Jun  1 23:44:38 srv charon: 01[NET] sending packet: from 138.201.xxx.xxxx[500] to 77.11.36.abc[500] (940 bytes)
Jun  1 23:45:54 srv charon: 06[IKE] giving up after 5 retransmits
Jun  1 23:45:54 srv charon: 06[IKE] establishing IKE_SA failed, peer not responding

Weitere Fritzboxen von anderen Standorten sollen dazukommen, wenn der erste läuft.

Kann mir jemand weiterhelfen, wo es noch klemmt?
Vergleichbare Konfigurationen habe ich per google + Foren Suche schon gefunden, haben aber leider nicht geholfen :-(

Können mir evtl. noch Firewall Regeln fehlen? Muss ich auf dem Hyper-V Host noch etwas einstellen? Brauche ich ggf. noch virtuelle Netzwerkkarten im Server? Aktuell zeigt mir ifconfig:

eth0      Link encap:Ethernet  Hardware Adresse 00:50:56:00:aa:bb
          inet Adresse:138.201.xxx.xxx  Bcast:138.201.xxx.xxx  Maske:255.255.255.192
          inet6-Adresse: fe80::250:1231:fe00:20bc/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:21949 errors:0 dropped:0 overruns:0 frame:0
          TX packets:20753 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:13098608 (12.4 MiB)  TX bytes:1929940 (1.8 MiB)

lo        Link encap:Lokale Schleife
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
          UP LOOPBACK RUNNING  MTU:65536  Metrik:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

iptables zeigt:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     esp  --  anywhere             anywhere
ACCEPT     udp  --  anywhere             anywhere             udp dpt:isakmp
ACCEPT     udp  --  anywhere             anywhere             udp dpt:ipsec-nat-t
ACCEPT     esp  --  anywhere             anywhere
ACCEPT     esp  --  anywhere             anywhere
ACCEPT     udp  --  anywhere             anywhere             udp dpt:isakmp
ACCEPT     udp  --  anywhere             anywhere             udp dpt:ipsec-nat-t

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Vielen Dank im Voraus!

Schöne Grüße
Daniel

 

[PeterPawn]

0x1C steht ja nun für "invalid id" (die Identifikation für P1 paßt nicht) ... das kann die FRITZ!Box eigentlich nur dann feststellen, wenn sie selbst ein IKE-Paket vom Peer empfängt (und zumindest ihre lokale ID darin richtig ist, sonst drückt sie m.W. solche Pakete gleich in den Skat - wäre ja auch ein netter Weg, um das Eventlog zum Überlaufen zu bringen). Bist Du Dir sicher, daß die Meldung in der FRITZ!Box tatsächlich auch dann schon auftaucht, wenn der Server seinerseits noch gar keine Verbindung aufbauen will?

In dem skizzierten Szenario läuft es ja darauf hinaus, daß die FRITZ!Boxen am besten wie "road warriors" behandelt werden und der Server nur als passiver Responder arbeitet - ändert eine FRITZ!Box ihre IP-Adresse, aktualisiert sie ihrerseits den DynDNS-Server und dann kann/muß sie eben auch gleich die IPSec-Verbindung "aufbauen" (das ist ja nicht wirklich eine Verbindung, daher die Anführungszeichen). Das erreicht man am einfachsten durch das Hinzufügen des Parameters "keepalive_ip" zur FRITZ!Box-Konfiguration, der eine (nicht zwingend existente) interne IP-Adresse im Netz des Peers festlegt, an welche die FRITZ!Box dann ICMP-Pakete in regelmäßigen Abständen sendet. Damit wird die Box sicher zum "initiator" des IPSec-IKE und der Server kann als passiver Responder einfach auf die eingehenden Pakete der FRITZ!Box(en) warten.

Im Moment würde der Schlüsselaustausch von der Box aus nur dann starten, wenn auf der FRITZ!Box-Seite irgendein Client ein Paket an eine Adresse aus 192.168.5.0/24 sendet (on-demand). Das ist ein (halbwegs) sinnvolles Szenario, wenn jedes übertragene Byte "kostbar" ist, ansonsten baut man diese Verbindung einfach auf (es sind ja nur die SA auf jeder Seite, die dabei erzeugt werden, das ist keine "richtige" Verbindung) und läßt sie stehen ... am besten eben sogar mit DPD und allem Schnickschnack wie Keepalives zwischen den LANs, damit tote SAs abgeräumt werden und neue schon vorher eingerichtet werden. Ansonsten führt (je nach Protokoll/Implementierung) meist der erste Versuch der Übertragung eines Paketes zur anderen Seite zum Timeout, weil erst einmal die IPSec-SAs eingerichtet werden müssen und das u.U. schon mal 1-2 Sekunden braucht.

Für die Konfiguration von charon als reiner "responder" müßte ich auch erst nachschauen (das kannst Du dann auch gleich selbst machen) ... es gibt eine Einstellmöglichkeit, daß StrongSwan selbst keine Versuche unternimmt, eine IPSec-SA einzurichten - selbst wenn Traffic für das Netz beim Peer auftauchen sollte.

Ansonsten kann man beim StrongSwan das Logging-Level noch um einiges hochdrehen und für eine sinnvolle Analyse von Problemen, braucht es dann auch die (zeitgleichen!) Protokolle des "avmike" aus der FRITZ!Box - diese finden sich in den Support-Daten des FRITZ!OS. Wenn da wirklich kein initiales Paket von der FRITZ!Box zum StrongSwan durchkommen sollte, weil noch eine Firewall im Weg ist, sieht man das in diesen Protokollen ... deshalb die Forderung, daß diese denselben Verbindungsversuch darstellen müssen. Am einfachsten ist es, man startet die FRITZ!Box vor so einem Test einfach neu, dann ist auch die Protokolldatei nicht mit alten, unnützen Einträgen überfrachtet. Beim Maskieren bitte nicht übertreiben (machst Du bisher nicht, ich schreibe es trotzdem noch einmal hin), damit man Syntaxfehler zumindest noch an der Struktur der maskierten Daten erahnen kann.

Im Moment würde ich am ehesten darauf tippen, daß da StrongSwan versucht, die Connection einzurichten, dabei aber für sich selbst eine "falsche" ID für P1 sendet (die 0x1c-Meldungen wären dann die Reaktion auf diese Versuche) - ich weiß nicht, was charon als "leftid" verwendet, wenn nichts angegeben ist.

Aber ich würde - wie oben geschrieben - hier auch vollkommen darauf verzichten, daß charon überhaupt aktiv wird beim Aufbau einer IPSec-Assoziation - das ist eher die Aufgabe des Peers mit der dynamischen IP-Adresse. Vermutlich muß man ohnehin in der StrongSwan-Konfiguration den "right"-Parameter ändern (da wäre ein "anonymer Eintrag" sinnvoller) ... ich weiß nicht, wie oft dort die Namensauflösung erfolgt und wenn die FRITZ!Box die Adresse wechseln sollte, stimmt dann die IP-Adresse des Peers u.U. nicht mehr, wenn sie nicht ständig neu ermittelt wird.

Allerdings verwende ich selbst nur selten StrongSwan und muß mich dann auch jedesmal erst durch die Dokumentation arbeiten ... insofern sind Angaben zu konkreten StrongSwan-Einstellungen nur aus dem Gedächtnis. Aber die generelle Vorgehensweise (dedizierte Rollen als "initiator" und "responder") würde ich in jedem Falle ändern.

 

[DannyP]

Hallo PeterPawn,

vielen vielen Dank für deine super ausführliche Antwort!
Das hat mir sehr viel weitergeholfen

Nach einigen Anpassungen in der Konfiguration habe ich es nun geschafft, das sich die Fritzbox zum StrongSwan Server verbinden kann.

Nun habe ich allerdings das Problem, dass die Verbindung nur ca. 30 Sekunden hält und dann sofort wieder getrennt und neu aufgebaut wird.

Hier ist meine StrongSwan Log Datei (damit es nicht zu viel ist, habe ich sie etwas gekürzt, hoffe es fehlt nun nichts relevantes)

Jun  2 22:39:00 srv charon: 05[IKE] IKE_SA FritzBoxStandort1[14] established between 138.201.xx.xxx[138.201.xx.xxx]...93.129.x.xx[standort1.domain.de]
Jun  2 22:39:00 srv charon: 05[IKE] IKE_SA FritzBoxStandort1[14] state change: CONNECTING => ESTABLISHED
Jun  2 22:39:00 srv charon: 05[IKE] scheduling reauthentication in 13828s
Jun  2 22:39:00 srv charon: 05[IKE] maximum IKE_SA lifetime 14368s


Jun  2 22:39:33 srv charon: 09[NET] received packet: from 93.129.x.xx[500] to 138.201.xx.xxx[500] (92 bytes)
Jun  2 22:39:33 srv charon: 09[ENC] parsed INFORMATIONAL_V1 request 4283233889 [ HASH D ]
Jun  2 22:39:33 srv charon: 09[IKE] received DELETE for IKE_SA FritzBoxStandort1[14]
Jun  2 22:39:33 srv charon: 09[IKE] deleting IKE_SA FritzBoxStandort1[14] between 138.201.xx.xxx[138.201.xx.xxx]...93.129.x.xx[standort1.domain.de]
Jun  2 22:39:33 srv charon: 09[IKE] IKE_SA FritzBoxStandort1[14] state change: ESTABLISHED => DELETING
Jun  2 22:39:33 srv charon: 09[IKE] IKE_SA FritzBoxStandort1[14] state change: DELETING => DELETING
Jun  2 22:39:33 srv charon: 09[IKE] IKE_SA FritzBoxStandort1[14] state change: DELETING => DESTROYING
Jun  2 22:39:33 srv charon: 08[NET] received packet: from 93.129.x.xx[500] to 138.201.xx.xxx[500] (673 bytes)
Jun  2 22:39:33 srv charon: 08[ENC] parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V V ]
Jun  2 22:39:33 srv charon: 08[CFG] looking for an ike config for 138.201.xx.xxx...93.129.x.xx
Jun  2 22:39:33 srv charon: 08[CFG]   candidate: 138.201.xx.xxx...standort1.domain.de, prio 3100
Jun  2 22:39:33 srv charon: 08[CFG] found matching ike config: 138.201.xx.xxx...standort1.domain.de with prio 3100
Jun  2 22:39:33 srv charon: 08[IKE] received XAuth vendor ID
Jun  2 22:39:33 srv charon: 08[IKE] received DPD vendor ID
Jun  2 22:39:33 srv charon: 08[IKE] received NAT-T (RFC 3947) vendor ID
Jun  2 22:39:33 srv charon: 08[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Jun  2 22:39:33 srv charon: 08[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Jun  2 22:39:33 srv charon: 08[ENC] received unknown vendor ID: a2:22:6f:c3:64:50:0f:56:34:ff:77:db:3b:74:f4:1b
Jun  2 22:39:33 srv charon: 08[IKE] 93.129.x.xx is initiating a Aggressive Mode IKE_SA
Jun  2 22:39:33 srv charon: 08[IKE] IKE_SA (unnamed)[15] state change: CREATED => CONNECTING
Jun  2 22:39:33 srv charon: 08[CFG] selecting proposal:
Jun  2 22:39:33 srv charon: 08[CFG]   proposal matches
Jun  2 22:39:33 srv charon: 08[CFG] received proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_192/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:AES_CBC_192/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:AES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024
Jun  2 22:39:33 srv charon: 08[CFG] configured proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_128/AES_CBC_192/AES_CBC_256/3DES_CBC/CAMELLIA_CBC_128/CAMELLIA_CBC_192/CAMELLIA_CBC_256/HMAC_MD5_96/HMAC_SHA1_96/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/AES_XCBC_96/PRF_HMAC_MD5/PRF_HMAC_SHA1/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/MODP_2048/MODP_2048_224/MODP_2048_256/MODP_1536/MODP_3072/MODP_4096/MODP_8192/MODP_1024/MODP_1024_160/ECP_256/ECP_384/ECP_521/ECP_224/ECP_192/ECP_224_BP/ECP_256_BP/ECP_384_BP/ECP_512_BP, IKE:AES_GCM_8_128/AES_GCM_8_192/AES_GCM_8_256/AES_GCM_12_128/AES_GCM_12_192/AES_GCM_12_256/AES_GCM_16_128/AES_GCM_16_192/AES_GCM_16_256/PRF_HMAC_MD5/PRF_HMAC_SHA1/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/MODP_2048/MODP_2048_224/MODP_2048_256/MODP_1536/MODP_3072/MODP_4096/MODP_8192/MODP_1024/MODP_1024_160/ECP_256/ECP_384/ECP_521/ECP_224/ECP_192/ECP_224_BP/ECP_256_BP/ECP_384_BP/ECP_512_BP
Jun  2 22:39:33 srv charon: 08[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Jun  2 22:39:33 srv charon: 08[CFG] looking for pre-shared key peer configs matching 138.201.xx.xxx...93.129.x.xx[standort1.domain.de]
Jun  2 22:39:33 srv charon: 08[CFG]   candidate "FritzBoxStandort1", match: 1/20/3100 (me/other/ike)
Jun  2 22:39:33 srv charon: 08[CFG] selected peer config "FritzBoxStandort1"
Jun  2 22:39:33 srv charon: 08[IKE] sending XAuth vendor ID
Jun  2 22:39:33 srv charon: 08[IKE] sending DPD vendor ID
Jun  2 22:39:33 srv charon: 08[IKE] sending NAT-T (RFC 3947) vendor ID
Jun  2 22:39:33 srv charon: 08[ENC] generating AGGRESSIVE response 0 [ SA KE No ID NAT-D NAT-D HASH V V V ]
Jun  2 22:39:33 srv charon: 08[NET] sending packet: from 138.201.xx.xxx[500] to 93.129.x.xx[500] (388 bytes)
Jun  2 22:39:33 srv ipsec[1330]: 01[CFG] received proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_192/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:AES_CBC_192/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:AES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024
Jun  2 22:39:33 srv ipsec[1330]: 01[CFG] configured proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_128/AES_CBC_192/AES_CBC_256/3DES_CBC/CAMELLIA_CBC_128/CAMELLIA_CBC_192/CAMELLIA_CBC_256/HMAC_MD5_96/HMAC_SHA1_96/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/AES_XCBC_96/PRF_HMAC_MD5/PRF_HMAC_SHA1/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/MODP_2048/MODP_2048_224/MODP_2048_256/MODP_1536/MODP_3072/MODP_4096/MODP_8192/MODP_1024/MODP_1024_160/ECP_256/ECP_384/ECP_521/ECP_224/ECP_192/ECP_224_BP/ECP_256_BP/ECP_384_BP/ECP_512_BP, IKE:AES_GCM_8_128/AES_GCM_8_192/AES_GCM_8_256/AES_GCM_12_128/AES_GCM_12_192/AES_GCM_12_256/AES_GCM_16_128/AES_GCM_16_192/AES_GCM_16_256/PRF_HMAC_MD5/PRF_HMAC_SHA1/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/MODP_2048/MODP_2048_224/MODP_2048_256/MODP_1536/MODP_3072/MODP_4096/MODP_8192/MODP_1024/MODP_1024_160/ECP_256/ECP_384/ECP_521/ECP_224/ECP_192/ECP_224_BP/ECP_256_BP/ECP_384_BP/ECP_512_BP
Jun  2 22:39:33 srv ipsec[1330]: 01[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Jun  2 22:39:33 srv ipsec[1330]: 01[CFG] looking for pre-shared key peer configs matching 138.201.xx.xxx...93.129.x.xx[standort1.domain.de]
Jun  2 22:39:33 srv ipsec[1330]: 01[CFG]   candidate "FritzBoxStandort1", match: 1/20/3100 (me/other/ike)
Jun  2 22:39:33 srv ipsec[1330]: 01[CFG] selected peer config "FritzBoxStandort1"
Jun  2 22:39:33 srv ipsec[1330]: 01[IKE] sending XAuth vendor ID
Jun  2 22:39:33 srv ipsec[1330]: 01[IKE] sending DPD vendor ID
Jun  2 22:39:33 srv ipsec[1330]: 01[IKE] sending NAT-T (RFC 3947) vendor ID
Jun  2 22:39:33 srv ipsec[1330]: 01[ENC] generating AGGRESSIVE response 0 [ SA KE No ID NAT-D NAT-D HASH V V V ]
Jun  2 22:39:33 srv ipsec[1330]: 01[NET] sending packet: from 138.201.xx.xxx[500] to 93.129.x.xx[500] (388 bytes)
Jun  2 22:39:33 srv ipsec[1330]: 05[NET] received packet: from 93.129.x.xx[500] to 138.201.xx.xxx[500] (108 bytes)
Jun  2 22:39:33 srv ipsec[1330]: 05[ENC] parsed AGGRESSIVE request 0 [ HASH NAT-D NAT-D ]
Jun  2 22:39:33 srv ipsec[1330]: 05[IKE] IKE_SA FritzBoxStandort1[14] established between 138.201.xx.xxx[138.201.xx.xxx]...93.129.x.xx[standort1.domain.de]
Jun  2 22:39:33 srv ipsec[1330]: 05[IKE] IKE_SA FritzBoxStandort1[14] state change: CONNECTING => ESTABLISHED
Jun  2 22:39:33 srv ipsec[1330]: 05[IKE] scheduling reauthentication in 13828s
Jun  2 22:39:33 srv ipsec[1330]: 05[IKE] maximum IKE_SA lifetime 14368s
Jun  2 22:39:33 srv ipsec[1330]: 09[NET] received packet: from 93.129.x.xx[500] to 138.201.xx.xxx[500] (92 bytes)
Jun  2 22:39:33 srv ipsec[1330]: 09[ENC] parsed INFORMATIONAL_V1 request 4283233889 [ HASH D ]
Jun  2 22:39:33 srv ipsec[1330]: 09[IKE] received DELETE for IKE_SA FritzBoxStandort1[14]
Jun  2 22:39:33 srv ipsec[1330]: 09[IKE] deleting IKE_SA FritzBoxStandort1[14] between 138.201.xx.xxx[138.201.xx.xxx]...93.129.x.xx[standort1.domain.de]
Jun  2 22:39:33 srv ipsec[1330]: 09[IKE] IKE_SA FritzBoxStandort1[14] state change: ESTABLISHED => DELETING
Jun  2 22:39:33 srv ipsec[1330]: 09[IKE] IKE_SA FritzBoxStandort1[14] state change: DELETING => DELETING
Jun  2 22:39:33 srv ipsec[1330]: 09[IKE] IKE_SA FritzBoxStandort1[14] state change: DELETING => DESTROYING
Jun  2 22:39:33 srv ipsec[1330]: 08[NET] received packet: from 93.129.x.xx[500] to 138.201.xx.xxx[500] (673 bytes)
Jun  2 22:39:33 srv ipsec[1330]: 08[ENC] parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V V ]
Jun  2 22:39:33 srv ipsec[1330]: 08[CFG] looking for an ike config for 138.201.xx.xxx...93.129.x.xx
Jun  2 22:39:33 srv ipsec[1330]: 08[CFG]   candidate: 138.201.xx.xxx...standort1.domain.de, prio 3100
Jun  2 22:39:33 srv ipsec[1330]: 08[CFG] found matching ike config: 138.201.xx.xxx...standort1.domain.de with prio 3100
Jun  2 22:39:33 srv ipsec[1330]: 08[IKE] received XAuth vendor ID
Jun  2 22:39:33 srv ipsec[1330]: 08[IKE] received DPD vendor ID
Jun  2 22:39:33 srv ipsec[1330]: 08[IKE] received NAT-T (RFC 3947) vendor ID
Jun  2 22:39:33 srv ipsec[1330]: 08[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Jun  2 22:39:33 srv ipsec[1330]: 08[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Jun  2 22:39:33 srv ipsec[1330]: 08[ENC] received unknown vendor ID: a2:22:6f:c3:64:50:0f:56:34:ff:77:db:3b:74:f4:1b
Jun  2 22:39:33 srv ipsec[1330]: 08[IKE] 93.129.x.xx is initiating a Aggressive Mode IKE_SA
Jun  2 22:39:33 srv ipsec[1330]: 08[IKE] IKE_SA (unnamed)[15] state change: CREATED => CONNECTING
Jun  2 22:39:33 srv ipsec[1330]: 08[CFG] selecting proposal:
Jun  2 22:39:33 srv ipsec[1330]: 08[CFG]   proposal matches
Jun  2 22:39:33 srv ipsec[1330]: 08[CFG] received proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_192/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:AES_CBC_192/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:AES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024
Jun  2 22:39:33 srv charon: 12[NET] received packet: from 93.129.x.xx[500] to 138.201.xx.xxx[500] (108 bytes)
Jun  2 22:39:33 srv charon: 12[ENC] parsed AGGRESSIVE request 0 [ HASH NAT-D NAT-D ]
Jun  2 22:39:33 srv charon: 12[IKE] IKE_SA FritzBoxStandort1[15] established between 138.201.xx.xxx[138.201.xx.xxx]...93.129.x.xx[standort1.domain.de]
Jun  2 22:39:33 srv charon: 12[IKE] IKE_SA FritzBoxStandort1[15] state change: CONNECTING => ESTABLISHED
Jun  2 22:39:33 srv charon: 12[IKE] scheduling reauthentication in 13655s
Jun  2 22:39:33 srv charon: 12[IKE] maximum IKE_SA lifetime 14195s

ipsec status zeigt:

FritzBoxStandort1[39]: ESTABLISHED 14 seconds ago, 138.201.xx.xxx[138.201.xx.xxx]...93.129.x.xx[standort1.domain.de]

Hier noch meine nun aktuelle ipsec.conf

config setup
        charondebug="ike 2, knl 2, cfg 2"

conn FritzBoxStandort1
        keyexchange=ikev1
        left=138.201.xx.xxx
        leftsubnet=192.168.5.0/24
        ike=aes256-sha-modp1024
        esp=aes256-sha1-modp1024
        right=standort1.domain.de
        [email protected]
        rightsubnet=192.168.1.0/24
        ikelifetime=4h
        keylife=1h
        authby=secret
        auto=add
        aggressive=yes

Und die Konfig für die FritzBox:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "138.201.xx.xxx";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 138.201.xx.xxx;
                remote_virtualip = 0.0.0.0;
                keepalive_ip = 192.168.5.1;
                localid {
                        fqdn = "standort1.domain.de";
                }
                remoteid {
                        ipaddr = 138.201.xx.xxx;
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "8dfa88E05x12ecba";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.5.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.5.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

In avmike sehe ich:

2016-06-02 22:39:00 avmike:138.201.xx.xxx: busy, renew request ignored.
2016-06-02 22:39:00 avmike:< cb_sa_create_failed(name=138.201.xx.xxx,reason=IKE-Error 0x2027)
2016-06-02 22:39:00 avmike:mainmode 138.201.xx.xxx: selected lifetime: 3600 sec(no notify)
2016-06-02 22:39:00 avmike:mainmode 138.201.xx.xxx: add SA 14
2016-06-02 22:39:00 avmike:138.201.xx.xxx remote peer supported XAUTH
2016-06-02 22:39:00 avmike:138.201.xx.xxx remote peer supported DPD
2016-06-02 22:39:00 avmike:138.201.xx.xxx remote peer supported NAT-T RFC 3947
2016-06-02 22:39:00 avmike:138.201.xx.xxx: Phase 1 ready
2016-06-02 22:39:00 avmike:138.201.xx.xxx: start waiting connections
2016-06-02 22:39:00 avmike:138.201.xx.xxx: NO waiting connections


2016-06-02 22:39:33 avmike:mainmode 138.201.xx.xxx: del SA 14
2016-06-02 22:39:33 avmike:wolke_neighbour_renew_sa 0 SAs
2016-06-02 22:39:33 avmike:wolke_neighbour_renew_sa 0 SAs RENEW 
2016-06-02 22:39:33 avmike:138.201.xx.xxx: Phase 1 starting (renew)
2016-06-02 22:39:33 avmike:138.201.xx.xxx: busy, renew request ignored.
2016-06-02 22:39:33 avmike:< cb_sa_create_failed(name=138.201.xx.xxx,reason=IKE-Error 0x2027)
2016-06-02 22:39:33 avmike:mainmode 138.201.xx.xxx: selected lifetime: 3600 sec(no notify)
2016-06-02 22:39:33 avmike:mainmode 138.201.xx.xxx: add SA 15
2016-06-02 22:39:33 avmike:138.201.xx.xxx remote peer supported XAUTH
2016-06-02 22:39:33 avmike:138.201.xx.xxx remote peer supported DPD
2016-06-02 22:39:33 avmike:138.201.xx.xxx remote peer supported NAT-T RFC 3947
2016-06-02 22:39:33 avmike:138.201.xx.xxx: Phase 1 ready
2016-06-02 22:39:33 avmike:138.201.xx.xxx: start waiting connections
2016-06-02 22:39:33 avmike:138.201.xx.xxx: NO waiting connections

Woher dieser Eintrag kommt, konnte ich leider nicht rausfinden, den vermute ich irgendwie als Ursache:
2016-06-02 22:39:33 avmike:mainmode 138.201.xx.xxx: del SA 14

Die DDNS Namen und IP sind erreichbar. Der StrongSwan Server baut von sich aus keine Verbindungen zur FritzBox auf.

Hast du noch eine Idee, was ich tun muss?

Anschließend muss ich mich wohl auch noch mal etwas um das Routing kümmern, ich will:
* Routing in alle Subnetze ermöglichen
* Internet Traffic soll nicht durch das VPN geleitet werden, sondern direkt aus den einzelnen Subnetzes ins Internet
* Sämtlicher Traffic zu einer IP / Domain inkl. subdomains soll durch das VPN gehen.

Vielen Dank & schöne Grüße
Daniel