Fehlerbeschreibung:
Nach einrichten eines Securepoint IPSec VPN zu AVM Fritzbox kann diese nicht von der Fritzbox zur Securepoint initiiert werden oder wird nach 1h getrennt und nicht neu aufgebaut.
Fehlerursache:
Sie setzen ein aktuelles Fritz!OS ab Version 06.20 ein.
Fehlerbereinigung:
Ab Fritz!OS Version 06.20 hat sich einiges hinstichtlich der VPN Eintellungen getan. So ist es u. a. nun möglich die Diffie-Hellman-Gruppen 5, 14 und 15 einzusetzen. Leider hat sich mit diesen Änderungen allerdings die Kompatibilität zu diversen Firewalls bzw. VPN-Gateways deutlich verschlechtert. Hierzu zählt leider auch die IPSec Site-to-Site Verbindung zu einer Securepoint.
Nach Rücksprachen mit dem Support der Hersteller, Rechere in diversen Foren und unzähligen Tests konnten wir mit folgender Konfiguration eine Stabile IPSec Site-to-Site Verbindung von einer AVM Fritzbox zu einer Securepoint V11 herstellen.
Laden und installieren Sie die Software FRITZ!Box-Fernzugang einrichten aus dem AVM VPN Service Portal
Starten Sie den Fritz!Box-Fernzugang
Starten Sie über „Neu“ den Assistenten für eine neue Konfiguration
Wählen Sie „Verbindung zwischen zwei FRITZ!Box-Netzwerken einrichten“
Geben Sie die IP Adresse auf der Fritzbox Seite entweder als feste, öffentliche, IP oder als DNS Namen ein. Über DNS Namen können auch dynamische IP Adressen verwendet werden, hiervon raten wir allerdings ab.
Tragen Sie das Subnetz der Fritzbox ein (Netzadresse mit der entsprechenden Subnetzmaske).
Geben Sie für das entfernte Ziel die IP Adresse der Securepoint
und das dazugehörige Subnetz hinter der Securepoint ein.
Schließen Sie den Assitenten ab und lassen Sie sich die erstellen Konfigurationsdateien anzeigen.
Interessant für die weitere Bearbeitung ist die Konfiguration der lokalen AVM Fritzbox, in diesem Fall fritzbox.dynamische.ip. Öffnen Sie die Konfiguration mit einem Editor, z. B. Notepad:
Passen Sie die 3 Parameter:
mode = phase1_mode_idp; // Main-Mode aktivieren (Securepoint unterstützt aus Sicherheitsgründen keinen Aggressive Mode.
phase1ss = „dh14/aes/sha“; // Proposals für Phase 1 (Diffie-Hellman Group 14 (2048-bit), AES Verschlüsselung und SHA Authentifizierung)
entsprechend o. g. Beispiel und die Zeile
key = „geheim“; // VPN Kennwort (Preshared Key)
nach Ihren Vorstellungen an.
Speichern Sie die Einstellungen und importieren Sie die .cfg über die Weboberfläche unter Internet – Freigaben – VPN in Ihre Fritzbox. Ggf. muss hierzu zunächste die Expertenansicht aktiviert werden. Damit ist die Konfiguration der AVM Fritz!Box abgeschlossen.
Auf der Securepoint erstellen Sie unter VPN – IPSec eine neue Site-to-Site Verbindung
Vergeben Sie einen Namen und die öffentliche Adresse (DNS oder statische IP) der Fritzbox, wie zuvor angegeben.
Definieren Sie den identischen Pre-shared Key wie in der Fritzbox.cfg (s. o.).
Definieren Sie die Gateway ID’s der Securepoint und der Fritzbox analog zur Fritzbox.cfg (s. o.).
Konfigurieren Sie die Subnetze, in diesem Fall ist Local Network das der Securepoint und Remote Network das der Fritzbox.
Speichern Sie die Konfiguration über Finish.
Abschließend sind noch die Proposals anzupassen, öffnen Sie zunächst die Einstellungen für Phase1.
Unter „Initiate Connection“ definieren Sie „Incoming“ und wechseln auf das Register IKE.
Hier tragen Sie als Encryption „aes256“, Authentication „sha“, Diffie-Hellman Group „modp2048″ und IKE Lifetime 1 hour“ ein.
Speichern Sie die Einstellungen über „Save“
Öffnen Sie die Konfiguration für Phase 2
Definieren Sie hier ebenfalls als Encryption „aes256“, Authentication „sha“, Diffie-Hellman Group „modp2048“, „IKE Lifetime 1 hour“ und aktivieren Sie „Perfect Forward Secrecy“.
Speichern Sie die Einstellungen über Save.
Nach Neustart der IPSec Dienste auf der Securepoint über Application – Application Status – IPSec Dienste – Neustart sollte der Tunnel nach initiierung durch die Fritzbox aufgebaut werden und das Problem Securepoint IPSec VPN zu AVM Fritzbox behoben sein
Für weitere Fragen und Anregungen steht ihnen der Author und das Team der HIT gerne zur Verfügung!