Securepoint IPSec VPN zu AVM Fritzbox

Fehlerbeschreibung:

Nach einrichten eines Securepoint IPSec VPN zu AVM Fritzbox kann diese nicht von der Fritzbox zur Securepoint initiiert werden oder wird nach 1h getrennt und nicht neu aufgebaut.

Fehlerursache:

Sie setzen ein aktuelles Fritz!OS ab Version 06.20 ein.

Fehlerbereinigung:

Ab Fritz!OS Version 06.20 hat sich einiges hinstichtlich der VPN Eintellungen getan. So ist es u. a. nun möglich die Diffie-Hellman-Gruppen 5, 14 und 15 einzusetzen. Leider hat sich mit diesen Änderungen allerdings die Kompatibilität zu diversen Firewalls bzw. VPN-Gateways deutlich verschlechtert. Hierzu zählt leider auch die IPSec Site-to-Site Verbindung zu einer Securepoint.

Nach Rücksprachen mit dem Support der Hersteller, Rechere in diversen Foren und unzähligen Tests konnten wir mit folgender Konfiguration eine Stabile IPSec Site-to-Site Verbindung von einer AVM Fritzbox zu einer Securepoint V11 herstellen.

Laden und installieren Sie die Software FRITZ!Box-Fernzugang einrichten aus dem AVM VPN Service Portal

Starten Sie den Fritz!Box-Fernzugang

Securepoint IPSec VPN zu AVM Fritzbox Fritz!Box-Fernzugang

Starten Sie über “Neu” den Assistenten für eine neue Konfiguration

Securepoint IPSec VPN zu AVM Fritzbox Fritz!Box-Fernzugang einrichten

Wählen Sie “Verbindung zwischen zwei FRITZ!Box-Netzwerken einrichten”

Securepoint IPSec VPN zu AVM Fritzbox Fritzbox Fernzugang lokale IP

Geben Sie die IP Adresse auf der Fritzbox Seite entweder als feste, öffentliche, IP oder als DNS Namen ein. Über DNS Namen können auch dynamische IP Adressen verwendet werden, hiervon raten wir allerdings ab.

Securepoint IPSec VPN zu AVM Fritzbox Fritzbox lokales Subnetz

Tragen Sie das Subnetz der Fritzbox ein (Netzadresse mit der entsprechenden Subnetzmaske).

Securepoint IPSec VPN zu AVM Fritzbox Securepoint IP

Geben Sie für das entfernte Ziel die IP Adresse der Securepoint

Securepoint IPSec VPN zu AVM Fritzbox Securepoint remote Subnetz

und das dazugehörige Subnetz hinter der Securepoint ein.

Securepoint IPSec VPN zu AVM Fritzbox Fernzugang abschließen

Schließen Sie den Assitenten ab und lassen Sie sich die erstellen Konfigurationsdateien anzeigen.

Securepoint IPSec VPN zu AVM Fritzbox Securepoint Site-to-Site VPN Konfigurationen

Interessant für die weitere Bearbeitung ist die Konfiguration der lokalen AVM Fritzbox, in diesem Fall fritzbox.dynamische.ip. Öffnen Sie die Konfiguration mit einem Editor, z. B. Notepad:

Securepoint IPSec VPN zu AVM Fritzbox Securepoint cfg

Passen Sie die 3 Parameter:

mode = phase1_mode_idp; // Main-Mode aktivieren (Securepoint unterstützt aus Sicherheitsgründen keinen Aggressive Mode.

phase1ss = “dh14/aes/sha”; // Proposals für Phase 1 (Diffie-Hellman Group 14 (2048-bit), AES Verschlüsselung und SHA Authentifizierung)

entsprechend o. g. Beispiel und die Zeile

key = “geheim”; // VPN Kennwort (Preshared Key)

nach Ihren Vorstellungen an.

Speichern Sie die Einstellungen und importieren Sie die .cfg über die Weboberfläche unter Internet – Freigaben – VPN in Ihre Fritzbox. Ggf. muss hierzu zunächste die Expertenansicht aktiviert werden. Damit ist die Konfiguration der AVM Fritz!Box abgeschlossen.

Auf der Securepoint erstellen Sie unter VPN – IPSec eine neue Site-to-Site Verbindung

Securepoint IPSec VPN zu AVM Fritzbox Securepoint IPSec Site-to-Site VPN

Vergeben Sie einen Namen und die öffentliche Adresse (DNS oder statische IP) der Fritzbox, wie zuvor angegeben.

Securepoint IPSec VPN zu AVM Fritzbox Securepoint Pre-shared Key

Definieren Sie den identischen Pre-shared Key wie in der Fritzbox.cfg (s. o.).

Securepoint IPSec VPN zu AVM Fritzbox Securepoint lokales Gateway

Definieren Sie die Gateway ID’s der Securepoint und der Fritzbox analog zur Fritzbox.cfg (s. o.).

Securepoint IPSec VPN zu AVM Fritzbox Securepoint VPN Subnetze

Konfigurieren Sie die Subnetze, in diesem Fall ist Local Network das der Securepoint und Remote Network das der Fritzbox.

Speichern Sie die Konfiguration über Finish.

Securepoint IPSec VPN zu AVM Fritzbox Securepoint IPSec Proposals

Abschließend sind noch die Proposals anzupassen, öffnen Sie zunächst die Einstellungen für Phase1.

Securepoint IPSec VPN zu AVM Fritzbox Securepoint Phase1

Unter “Initiate Connection” definieren Sie “Incoming” und wechseln auf das Register IKE.

Securepoint IPSec VPN zu AVM Fritzbox Securepoint Phase1 Encryption

Hier tragen Sie als Encryption “aes256”, Authentication “sha”, Diffie-Hellman Group “modp2048″ und IKE Lifetime 1 hour” ein.

Speichern Sie die Einstellungen über “Save”

Öffnen Sie die Konfiguration für Phase 2

Securepoint IPSec VPN zu AVM Fritzbox Securepoint Phase2 Proposals

Definieren Sie hier ebenfalls als Encryption “aes256”, Authentication “sha”, Diffie-Hellman Group “modp2048”, “IKE Lifetime 1 hour” und aktivieren Sie “Perfect Forward Secrecy”.

Speichern Sie die Einstellungen über Save.

Nach Neustart der IPSec Dienste auf der Securepoint über Application – Application Status – IPSec Dienste – Neustart sollte der Tunnel nach initiierung durch die Fritzbox aufgebaut werden und das Problem Securepoint IPSec VPN zu AVM Fritzbox behoben sein

Für weitere Fragen und Anregungen steht ihnen der Author und das Team der HIT gerne zur Verfügung!