neue Labor Firmware 29.04.31-6111 (VPN Feature)

Status
Für weitere Antworten geschlossen.
Hallo Frank

Na das die Phase 1 nicht erfolgreich abgeschlossen wird ist ja wohl klar :p .

Key habe ich aus dem Konfigfile der Netscreen genommne und in das fritzbox.cfg File mit Cut and Paste eingefügt. Dies habe ich gemacht da die Keys ja nochmals verschlüsselt werden nach der Eingabe in der Web-Oberfläche und ich mir nicht anders zu helfen wusste.

Habe eben gerade mal mit Absicht verschiedene Keys eingegeben und die Fehlermeldungen bleiben gleich. Könntest also recht haben.

Jetzt stellt sich mir allerdings die Frage wie trage ich auf beiden Systemen einen Gemeinsamen Key ein.

Was meinst du mit User-FQDN?

Auf der Netscreen kann ich Optional eine Local ID eintragen. Dort habe ich aus dem Fritzbox.cfg File den Wert remoteid fqdn= eingetragen. Wo ich allerdings den Wert localid auf der Netscreen eintragen soll weiß ich nicht.

Gruß Eric
 
Hallo,

Black-Bandit schrieb:
Na das die Phase 1 nicht erfolgreich abgeschlossen wird ist ja wohl klar :p .
Dann kann auch nicht AH das Problem sein, weil das kommt meines Wissens erst in Phase 2.

Black-Bandit schrieb:
Key habe ich aus dem Konfigfile der Netscreen genommne und in das fritzbox.cfg File mit Cut and Paste eingefügt.
Das klappt nicht. Ich hab auch schon mal versucht, die Konfig von AVM anzupassen, ohne Erfolg. Die scheinen eine Art Checksum der Konfig im Key unterzubringen, so dass nach Veränderung keine VPN Verbindung mehr zustande kommt.

Black-Bandit schrieb:
Jetzt stellt sich mir allerdings die Frage wie trage ich auf beiden Systemen einen Gemeinsamen Key ein.
Du musst den Fritzbox Key irgendwie in die Netscreen bekommen. Da ich das Teil nicht kenne, :noidea: .

Black-Bandit schrieb:
Was meinst du mit User-FQDN?
Die eMail Adresse, die auch in der Fritz Konfig als FQDN auftaucht. Laut IPSec ist das eigentlich ein USER_FQDN.

Black-Bandit schrieb:
Auf der Netscreen kann ich Optional eine Local ID eintragen. Dort habe ich aus dem Fritzbox.cfg File den Wert remoteid fqdn= eingetragen.
Da bist du auf der richtigen Spur. Als Local ID sollte ein USER_FQDN akzeptiert werden.

Viele Grüße

Frank
 
Hallo Frank

Phase1 läuft jetzt :)

Habe den Key von fritzbox.cfg in das config-File der Netscreen kopiert.

Jetzt mekert die Netscreen:

Phase 2 msg ID <51a2dc9b>: Negotiations have failed.

Phase 2 msg ID <51a2dc9b>: Responded to the peer's first message.

Rejected an IKE packet on untrust from xxx.xxx.xxx.xxx:500 to yyy.yyy.yyy.yyy:500 with cookies a4f6df1cd0da792a and 3bc93c53d2399ef7 because There were no acceptable Phase 2 proposals..

Hast du eine Ahnung welche proposals die Fritzbox unterstützt?
 
Hallo,

Hui, da bin ich mir nicht sicher. Ich meine, mich erinnern zu können, dass die Box dort nicht besonders wählerisch war. 3DES oder AES mit SHA1 und DH2 sollte eigentlich gehen.
Was aber kritisch ist (und weshalb ich bislang keine Verbindung mit Linux hinbekommen hab): Die Box ist sehr wählerisch, was die IP-Adressen des Clients angeht. Diese "virtual IP" scheint eine Art ID für Phase 2 zu sein. Jedenfalls müssen die IP und Subnetzeinstellungen genau passen, sonst kommt keine Phase 2 Verbindung zustande. Und sie muss im Client spezifiziert werden, da kein ModeCfg unterstützt wird.

Viele Grüße

Frank
 
Hallo Frank

Es funktioniert :p

Danke für die Unterstützung

Gruß Eric
 
Hier bin ich wieder

Hallo Mitstreiter

Hoffe wieder einen zu finden der mir helfen kann. Dank Holger steht der Tunnel ja nun zwischen meiner Netscreen und der FBF.

Solange ich mit IP-Adressen arbeite funktioniert auch alles. Jetzt wollte ich auf einen Exchange zugreifen, aber das ging ordentlich in die Hose. Per ping ist er aber erreichbar. Dann habe ich die Namensauflösung getestet und siehe da die geht nicht. Mache Namesauflösung über Wins weil die DNS Auflösung direkt in Internet geht und nicht jeder mitbekommen soll wo ich entlang serve :)

Jetzt habe ich mit Wireshark mal auf dem Wins geschaut ob meine Anfrage überhaupt ankommt. Ankommen tut sie auch. Antworten tut der Wins auch. Aber dann bekomme ich eine Antwort von der externen Adresse der FBF mit der Meldung: Destination unreachabel (Communication administratively filterd)

Klasse :mad:

den Wert dont_filter_netbios habe ich schon mit yes und mit no probiert ohne Erfolg.

hat noch jemand eine andere IDEE :idea:

Gruß Eric
 
Hallo,

Black-Bandit schrieb:
Jetzt wollte ich auf einen Exchange zugreifen, aber das ging ordentlich in die Hose.
Der Exchange Server soll über den VPN Tunnel erreicht werden? Wie wird mit dem Server kommuniziert? HTTPS?

Black-Bandit schrieb:
Antworten tut der Wins auch.
Wohin ist die Antwort gerichtet?

Black-Bandit schrieb:
Aber dann bekomme ich eine Antwort von der externen Adresse der FBF mit der Meldung: Destination unreachabel (Communication administratively filterd)
Wieso von der externen Adresse der Fritz? Dann fließen die Daten nicht über den Tunnel? Wo kommt das Paket überhaupt an? Auf dem WINS Server? Auf dem Client? Kommt das Paket unmittelbar nach der WINS Antwort? Kommt es anstatt der WINS Antwort? Hat es überhaupt was mit der WINS Antwort zu tun? ICMP Rejects von der Fritz gibt es oft: Da draußen sind noch reichlich Würmer unterwegs, die auf die beliebten Windows Ports fleißig eintrommeln.

Ich verstehe das Setup nicht richtig. Wo steht der Exchange Server? Wo der WINS Server? Wie ist das VPN involviert?

Viele Grüße

Frank
 
Hallo,


frank_m24 schrieb:
Der Exchange Server soll über den VPN Tunnel erreicht werden? Wie wird mit dem Server kommuniziert? HTTPS?

Auf den Exchange wir per Outlook-Client 2003 zugegriffen

frank_m24 schrieb:
Wohin ist die Antwort gerichtet?

An den Client der per NBNS versucht den Name aufzulössen oder sich am WINS zu regestrieren. Die Anfrage geht über den Tunnel und die Antwort soll da natürlich auch durch.

frank_m24 schrieb:
Wieso von der externen Adresse der Fritz? Dann fließen die Daten nicht über den Tunnel? Wo kommt das Paket überhaupt an? Auf dem WINS Server? Auf dem Client? Kommt das Paket unmittelbar nach der WINS Antwort? Kommt es anstatt der WINS Antwort? Hat es überhaupt was mit der WINS Antwort zu tun? ICMP Rejects von der Fritz gibt es oft: Da draußen sind noch reichlich Würmer unterwegs, die auf die beliebten Windows Ports fleißig eintrommeln.

Wiseo von der externen Adresse der Fritz weiß ich auch net genau, aber es kann ja nicht von Extern kommen, denn da wird ja genatet. Da weiß ja der Fritz ja garnicht wohin Damit wenn vorher kein Packet nach ausen gegangen ist. Ich denke die Daten würden über den Tunnel fließen ,da der Tunnel ja auf der Externen Adresse beginnt und endet. Somit muß auch diese Schnittstelle die Fehlermeldung bringen. Der Exhange/Wins-Server steht hinter der Fritz. Die WKS hinter der Netscreen. Die Namensauflösung in mein Firmen Netzwerk funktioniert ja auch. Dort steht eine weitere Netscreen. Dahe gehe ich davon aus, dass die Fitzbox daran schult ist. Wurde durch die Meldung in Wireshark ja auch bestätigt. In der Anwort sind auch Daten enthalten die eine eindeutige Zuordnungen zu dem vorherigen Packet zulassen (source und destination des Packetes Vorher)

frank_m24 schrieb:
Ich verstehe das Setup nicht richtig. Wo steht der Exchange Server? Wo der WINS Server? Wie ist das VPN involviert?

WKS-> Netscreen-> Tunnel -> FBF -> Exchange
Exchange -> FBF -> Tunnel -> Netscreen -> WKS

Hoffe jetzt alle Unklarheiten beseitigt zu haben

Viele Grüße

Eric
 
Hallo,

Black-Bandit schrieb:
Die Anfrage geht über den Tunnel und die Antwort soll da natürlich auch durch.
Und das funktioniert also nicht, anstatt dass die Antwort durch den Tunnel übertragen wird, wird ein ICMP Paket mit "Destination unreachable" erzeugt. Ok. Man bekommt das Gefühl, dass diese Übertragung trotz des aktivierten NetBIOS Traffics geblockt wird.

Black-Bandit schrieb:
Die Namensauflösung in mein Firmen Netzwerk funktioniert ja auch.
Hm? Jetzt doch? Oben hieß es doch noch, die Namensauflösung geht nicht. Um den Exchange-Server zu erreichen, müsste die Namensauflösung innerhalb des Firmennetzes ja reichen.

Viele Grüße

Frank
 
Hallo

An meiner Netscreen enden mehrere Tunnels.

An dem einen Tunnel endet das Netz meiner Firma, wo es auch einen Exchange gibt. Über diesen Tunnel funktioniert auch die Namensauflösung über Wins. Somit funktioniert auch das abrufen der Mails per Outlook

Der zweite Tunnel endet in einem Netz wo die FBF und der 2. Exchange/Wins-Server steht. Über diesen Tunnel kommt es auch zu den bereits geschilderten Problemen.

Hatte ich aber auch schon so in der letzten Antwort geschrieben. Ok vielleicht etwas missverständlich oder warst du zu schnell beim lesen :) ?

Grüße Eric
 
Hallo,

ah ja, jetzt hab ichs :). Leider bringt es mich der Lösung nicht näher :(. Ich hab nämlich keine sinnvolle Erklärung für das Problem, und schon gar keinen Lösungsansatz. Schande an sich.

Viele Grüße

Frank
 
Hallo,
ich habe folgendes Problem:
Die Box <-> Box VPN Verbindung klappt wunderbar. Ich kann auch auf die Fritzbox zugreifen & die entfernten Rechner anpingen. Aber auf die Freigaben komme ich einfach (per IP) nicht und den ftp Server der entfernten Box kann ich ebenfalls nicht erreichen (per Inet gehts).:noidea:

Auf den VNC Server, der auf dem entfernten Rechner läuft, kann ich zugreifen.

Neustart und .cfg Dateien neu erstellen hat keine Besserung gebracht.

Wäre echt toll wenn mir einer nen guten Rat geben könnte ;)

Gruß
satfreak1987
 
Hallo zusammen,

die Verbindung zwischen FB und meine PC funktioniert mit Benutzer [email protected] ohne Probleme. Wenn ich anstatt dem Benutzer [email protected] den Benutzer [email protected] im Fritz Fernzugang importiere, bekomme ich immer die Fehlermeldung:

"Die verwendete Identität ist der Gegenstelle nicht bekannt."

Ich habe die Benutzer unmittelbar hintereinander angelegt, dann Datein in die FB importiert und anschließend die vpnuser.cfg in den Client importiert. Mit Benutzer [email protected] funktioniert es, mit User [email protected] leider nicht.

Woran könnte das liegen?

Gruß
KiCR
 
masto schrieb:
Hat schon mal jemand festgestellt, ob die vpn-Verbindung wie in der 1. Version wieder nach ca. 1 h abbricht? Könnte vielleicht was mit diesem Parameter zu tun haben. Wenn nicht schon jemand mehr weiß, werd ich's mal testen.

So, habe es eben geschaftt, 2 Boxen zu koppeln. Die Verbindung wurde nach exakt 60 min wieder getrennt: "Ursache 1" was immer das heißen mag.
Den fremden PC kann ich anpingen, nur die Verzeichnisse kann ich nicht sehen, auch nicht per "\\192.168.2.20" im Startmenü. Kann aber auch am PC liegen, das muss nochmal vor Ort überprüft werden.
 
Status
Für weitere Antworten geschlossen.
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.