[Frage] Welche IKE/IPSec Strategie ab FW 7.2x?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
K

Killom

Neuer User
Mitglied seit
8 Feb 2020
Beiträge
19
Punkte für Reaktionen
0
Punkte
1
Guten Tag an alle,

seit der 7.2x funktioniert das IKE DH15 Proposal "dh15/aes/sha" (bei meiner 3490/6490) FritzBox nicht mehr ordentlich, man bekommt keine Verbindung mehr zu Stande. (Vermute beim DH14 und DH5 wirds ähnlich aussehen) Der Support bei AVM weiß natürlich von nix, und bekommt (angeblich) von den Entwicklern auch kein Feedback dazu. (Falls hier AVM intern wer mit liest: Ticket-ID 4489365) Es wird lediglich dazu geraten, die internen Assistenten zu verwenden. Vor der 7.2x lief es zumindest stabil und der Durchsatz reichte für RDP Sitzungen / flüssige Wiedergabe von FLAC-Audio (im Schnitt so 1,2MB/s). Seit der 7.2x wurde die Sache aber scheinbar kaputt optimiert. AVM zu AVM funktioniert gar nicht mehr und AVM zu LANCOM ist nicht mehr stabil.

Mit dem "LT8h/all/all/all" Proposal läuft die Verbindung wieder sauber - aber "nur" in DH2. AVM schreibt auf deren Seite:
"Die FRITZ!Box nutzt beim Schlüsselaustausch über Diffie-Hellman initial 1024 Bit (DH-Gruppe 2). Sie akzeptiert danach aber auch 768, 1536, 2048 und 3072 Bit (DH-Gruppe 1, 5, 14 und 15)."

Wie bringe ich die Box denn dazu, danach in eine andere DH Gruppe zu wechseln? Oder kann die das nicht selber und muss das die Gegenseite regeln? Initial scheint DH15 nicht mehr zu funktionieren (ging unter 7.12 noch!)
 
Zuletzt bearbeitet:
am besten einfach auf Wireguard umsteigen, dazu reicht ein Raspberry Pi :)
damit hat sich das ganze AVM VPN gefrickel auch erledigt
 
  • Like
Reaktionen: Peter_Lehmann
Ja ist mir schon klar. Aber ich hatte nicht vor zu resignieren :D

Klar könnte ich mir nen RPI hinstellen. Habe dann aber wieder Geld ausgegeben und ein zusätzliches Gerät im Haus, welches Strom frisst. Die FB habe ich da - und im Produktivbetrieb. Für meinen Privatkram reicht die "Leistung" der Box auch aus und prinzipiell funktioniert die VPN mit den Boxen ja auch - nur halt mit Luft nach oben.
 
Vielleicht plattform-spezifisch? Läuft bei mir zwischen einer 7590 und 7590 AX mit dh15 und LT8h problemlos seit zig Firmware-Updates.

1635242268158.png
 
Hier juckelt ein Lancom 1781 VAW erst zu einer 7530 und nun zu einer 5490 mit DH15/AES256/SHA2-512 quasi ununterbrochen rum.
Ich habe an der Lifetime nicht gedreht, sie beträgt 3600.
 
OctoMax schrieb:
Vielleicht plattform-spezifisch? Läuft bei mir zwischen einer 7590 und 7590 AX mit dh15 und LT8h problemlos seit zig Firmware-Updates.

Anhang anzeigen 113642
Zum Vergrößern anklicken....
StAugustin schrieb:
Hier juckelt ein Lancom 1781 VAW erst zu einer 7530 und nun zu einer 5490 mit DH15/AES256/SHA2-512 quasi ununterbrochen rum.
Ich habe an der Lifetime nicht gedreht, sie beträgt 3600.
Zum Vergrößern anklicken....

Könnt ihr mal die Configs posten? Vielleicht mache ich ja bei mir etwas anders oder falsch xD
 
klar

vpncfg {
vpncfg_version = 1;
connections {
enabled = yes;
editable = yes;
conn_type = conntype_lan;
name = "R407";
boxuser_id = 0;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = no;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "xxx.myfritz.net";
keepalive_ip = 0.0.0.0;
localid {
fqdn = "xxx";
}
remoteid {
fqdn = "xxx";
}
mode = phase1_mode_aggressive;
phase1ss = "dh15/aes/sha";
keytype = connkeytype_pre_shared;
key = "xxx";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.124.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.116.0;
mask = 255.255.255.0;
}
}
phase2ss = "LT8h/esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.110.0 255.255.255.0";
app_id = 0;
}
}
Zum Vergrößern anklicken....
 
Hier die main mode cfg zum Lancom:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "NamederVPNVerbindung";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "dyndns.adresse.gegenstelle";
localid {
fqdn = "Name der Fritzbox";
}
remoteid {
fqdn = "Name des Lancom";
}
mode = phase1_mode_idp;
phase1ss = "dh15/aes/sha";
keytype = connkeytype_pre_shared;
key = "sehrlangerkey";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.23.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.42.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.42.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 861 (Mitglieder: 31, Gäste: 830)

Neueste Beiträge

Statistik des Forums

Themen
246,159
Beiträge
2,247,098
Mitglieder
373,682
Neuestes Mitglied
phoneHome1
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück