Hallo n0x und Hallo an alle anderen im Forum,
das Thema mit side2side in Kombination Fritzbox und Endian ist wohl ein häufig auftauchendes Problem.
Ich selbe stand vor kurzem auch vor dieser Aufgabe. Die Aufgabenstellung war sogar genau dieselbe, wie bei n0x.
Hier nun meine Lösung.
Die Einstellungen in der EFW sind hier ja noch ganz einfach und verständlich. Wichtig sind nur:
1. Net2Net
2. PSK und das Passwort
3. IP/Domain der Gegenstelle
4. IP Netze für das Routing
5. AES256, SHA1, DH2 und 1 Stunde Gültigkeit
6. IKE1
7. 3DES, SHA1, DH2 und 1 Stunde Gültigkeit
8. Gegebenenfalls noch die VPN Firewall aktivieren und IPSEC zu Grün und Grün zu IPSEC
erlauben.
Die Konfiguration in der Fritz!Box sind da schon für manche der Horror.
Am einfachsten ist es mit der von AVM gelieferten Software Fritz!Fernzugang einrichten, die
Grundkonfigurationsdatei zu generieren und schließlich im Editor anzupassen.
Per Software werden schon mal die grundlegenden Dinge, wie eigene und entfernte IP/Domain,
sowie IP Netze lokal und entfernt eingetragen.
Als nächstes die generierte Konfiguration im Editor öffnen und den Rest ändern.
1. mode = phase1_mode_idp;
2. phase1ss = "alt/aes/sha";
3. key = "secret"; // Schlüssel aus der EFW
4. use_nat_t = no; // Nur bei statischer IP auf NO
5. phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
So stimmen schon mal die Verschlüsselungsalgorithmen und das Passwort mit den Einstellungen der
EFW überein und machen keine Probleme mehr.
Vorsorglich sollte der Rest der Datei, wie IP Adressen und Namen ebenfalls noch mal überprüft
werden.
Ist alles passend, kann die Datei in der Fritz!Box eingestellt werden und sollte direkt funktionieren.
In der FB und der EFW kann der Verbindungsaufbau wunderbar in dem Ereignisprotokoll angesehen
werden.
Als hilfe: http://blog.webernetz.net/2013/12/02/ips…s-avm-fritzbox/
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "fd-wv-fw01"; //ANPASSEN Angezeigter Name in der FRITZ!Box
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 80.154.108.227; //ANPASSEN Externe IP-Adresse der Juniper
remote_virtualip = 0.0.0.0;
localid {
fqdn = "darm.webernetz.net"; //ANPASSEN Dyn-DNS Eintrag der FRITZ!Box
}
remoteid {
ipaddr = "80.154.108.227"; //ANPASSEN Externe IP-Adresse der Juniper
}
mode = phase1_mode_idp;
phase1ss = "alt/aes/sha"; //Entspricht DH Gruppe 2, AES-256, SHA-1
keytype = connkeytype_pre_shared;
key = "1iOOncL1T2TxJKqr7PBbDi6sr2lVKX"; //ANPASSEN Pre-Shared Key
cert_do_server_auth = no;
use_nat_t = no; //Da die Juniper über eine statische IP verfügt, ist kein NAT-T notwendig
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.9.0; //ANPASSEN IP-Netz hinter der FRITZ!Box
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.96.0; //ANPASSEN IP-Netz hinter der Juniper
mask = 255.255.224.0;
}
}
phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
accesslist = "permit ip any 192.168.96.0 255.255.224.0"; //ANPASSEN IP-Netz hinter der Juniper
} ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Fritz Parameter der .cfg Datei
Parameter Beschreibung
reject_not_encrypted = no; Internetzugang während VPN verbieten, kann auch die DynDNS Verbindung behinden, daher nur mit fester IP nutzen
dont_filter_netbios = yes; NetBIOS filtern, auf no gesetzt kann NetBIOS nicht genutzt werden
mode = phase1_mode_aggressive; Modus der IKE-Phase1 (Agressive Mode)
mode = phase1_mode_idp; Modus der IKE-Phase1 (Main Mode)
phase1ss = "all/all/all"; Sicherheitsstrategie IKE-Phase 1, auf automatisch gesetzt
phase2ss = "esp-all-all/ah-none/comp-all/pfs"; Sicherheitsstrategie IKE-Phase 2 (IPSec)
accesslist = "permit ip any 192.168.10.0 255.255.255.0"; erlaubte Netzwerke oder Hosts
pppoefw Router läuft im PPPOE Mode (nur als Modem)
dslifaces Router läuft im Router-Mode (NAT-Funktionalität)
dsldpconfig …
Parameter für phase1ss
def/3des/sha Zugriff auf WatchGuard Firebox
alt/aes/sha Zugriff auf AVM Access Server
def/all/all alle Algorithmen, DH-Gruppe default
alt/all/all alle Algorithmen, DH-Gruppe alternativ
def/all-no-aes/all alle Algorithmen ohne AES, DH-Gruppe default
alt/all-no-aes/all alle Algorithmen ohne AES, DH-Gruppe alternativ
alt/aes-3des/sha AES 256 Bit oder 3DES, DH-Gruppe alternativ
all/all/all alle Algorithmen, DH-Gruppe alternativ
Parameter für phase2ss
esp-aes-sha/ah-sha/comp-lzjh/pfs Zugriff auf AVM Access Server, hohe Sicherheit
esp-aes-sha/ah-all/comp-lzjh-no/pfs Zugriff auf AVM Access Server, Standardsicherheit
esp-aes-sha/ah-no/comp-lzjh/pfs Zugriff auf AVM Access Server, ohne AH
esp-3des-md5/ah-no/comp-lzjh/pfs Zugriff auf AVM Access Server, mittlere Sicherheit
esp-3des-sha/ah-no/comp-no/no-pfs Zugriff auf WatchGuard Firebox
esp-all-all/ah-all/comp-all/pfs alle Algorithmen, mit PFS
esp-all-all/ah-all/comp-all/no-pfs alle Algorithmen, ohne PFS
esp-des|3des-all/ah-all/comp-all/pfs alle von Cisco unterstützten Algorithmen, mit PFS
esp-des|3des-all/ah-all/comp-all/no-pfs alle von Cisco unterstützten Algorithmen, ohne PFS
esp-des|3des-all/ah-all/comp-no/pfs MD5/SHA1/DES/3DES Algorithmen, mit PFS
esp-des|3des-all/ah-all/comp-no/no-pfs MD5/SHA1/DES/3DES Algorithmen, ohne PFS
esp-3des-shal/ah-no/comp-no/pfs Linux FreeS/WAN mit 3DES und PFS
esp-3des-shal/ah-no/comp-deflate/no-pfs Linux FreeS/WAN mit 3DES ohne Kompression
esp-all-all/ah-none/comp-all/pfs alle Algorithmen, ohne AH, mit PFS
esp-all-all/ah-none/comp-all/no-pfs alle Algorithmen, ohne AH, ohne PFS
esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs AES 256 Bit oder 3DES, AH optional, SHA, PFS
esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs AES 256 Bit oder 3DES, kein AH, SHA, PFS