VPN zu AVM FritzBox mit VPN-Firmware

Moderator: Securepoint

Gesperrt
Benutzeravatar
KuehleisIT
Beiträge: 70
Registriert: Mi 21.03.2007, 22:47
Wohnort: Weißenburg i. Bay.
Kontaktdaten:

VPN zu AVM FritzBox mit VPN-Firmware

Beitrag von KuehleisIT »

Hallo Forum,

hat jemand schon einen Tunnel zwischen einer Securepoint FW und einer AVM FritzBox zu stande gebracht und könnte hier kurz posten, wie die Erfahrungen damit sind? Ein How-To von Securepoint wäre nicht schlecht ...

Leider sind die FritzBoxen gerade bei HomeOffices sehr beliebt und verbreitet. AVM hat die Tage ja die bisherige Labor-VPN-Firmware für das Modell 7170 veröffentlicht und einige Tools online gestellt; weitere Modelle sollen folgen und mit VPN-Funktion nachgerüstet werden. Wie zu erwarten macht AVM da aber wieder alles zu kompliziert einfach :roll:
Ein Durchklicken der AVM-seitigen Konfiguration klappt nur für die Fritz-Fritz-Kopplung - aber einen echten Tunnel zur Securepoint hat da noch nicht geklappt.
Mit freundlichen Grüßen aus altmühlfranken

Christian Kühleis | IT-Systemberatung
URL: http://www.kuehleis.de

Benutzeravatar
KuehleisIT
Beiträge: 70
Registriert: Mi 21.03.2007, 22:47
Wohnort: Weißenburg i. Bay.
Kontaktdaten:

Beitrag von KuehleisIT »

Hier gibt es mittlerweile eine cfg-Beispiel-Datei für die Verbindung einer FritzBox mit 'ner Astaro-FW: http://www.avm.de/de/Service/Service-Po ... ro_box.pdf

Es scheint so, dass es wohl nur mit festen IP-Adressen klappt :roll: . Ob es trotzdem klappt, wenn nur die Securepoint eine feste IP hat, teste ich gerade aus.

Falls jemand von Euch noch mehr Erfahrungen hat, bitte hier posten!
Mit freundlichen Grüßen aus altmühlfranken

Christian Kühleis | IT-Systemberatung
URL: http://www.kuehleis.de

Benutzeravatar
KuehleisIT
Beiträge: 70
Registriert: Mi 21.03.2007, 22:47
Wohnort: Weißenburg i. Bay.
Kontaktdaten:

Beitrag von KuehleisIT »

wenn die Securepoint eine feste IP hat, klappt's mit dieser fritzbox.cfg:

Code: Alles auswählen

/*
 * C:\\fritzbox.cfg
 * Tue Jun 07 11:04:06 2007
 */

vpncfg {
	connections {
		enabled = yes;
		conn_type = conntype_lan;
		name = "Securepoint";
		always_renew = yes;
		reject_not_encrypted = no;
		dont_filter_netbios = yes;
		localip = 0.0.0.0;
		local_virtualip = 0.0.0.0;
		remoteip = xx.xx.xx.xx;	feste IP der Securepoint
		remote_virtualip = 0.0.0.0;
		localid {
			ipadr = 0.0.0.0;
		}
		remoteid {
			ipadr = xx.xx.xx.xx;	feste IP der Secureoint
		}
		mode = phase1_mode_idp;
		phase1ss = "alt/all-no-aes/all";
		keytype = connkeytype_pre_shared;
		key = "supersecretgeheimkey";
		cert_do_server_auth = no;
		use_xauth = no;
		use_cfgmode = no;
		phase2localid {
			ipnet {
				ipaddr = 192.168.2.0;	lokales LAN in der Aussenstelle
				mask = 255.255.255.0;
			}
		}
		phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
		accesslist = "permit ip any 192.168.7.0 255.255.255.0"; Ziel-LAN der Securepoint	
	}
	ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
		"udp 0.0.0.0:4500 0.0.0.0:4500";
}

//EOF
Hat aber erst geklappt, als ich die CFG-Datei in der DOS-Box mit "edit fritzbox.cfg" erstellt habe. Blöd ist aber, dass auf diese Weise alle Aussenstellen und die L2TP-Roadwarrior den identischen PSK verwenden müssen :'(
Mit freundlichen Grüßen aus altmühlfranken

Christian Kühleis | IT-Systemberatung
URL: http://www.kuehleis.de

LP81
Beiträge: 18
Registriert: Mi 14.05.2008, 12:08

Beitrag von LP81 »

Habe das jetzt mit ner Fritz Box und nem DrayTek Router ausprobiert. Mit der FritzBox ist das noch simpler, als mit dem DrayTek, naja, das kann auch Fritz :P
Aber komischer weise komme ich nicht vom Securepoint gesichertem Netz in das Netz der FritzBox, obwohl ich im Log sehe, dass der Traffic von der Securepoint durchgelassen wird :evil:

carsten
Beiträge: 644
Registriert: Fr 05.10.2007, 12:56

Beitrag von carsten »

Man muss natürlich auch das HideNat-Ausnahme definieren! :D
There are 10 types of people in the world... those who understand binary and those who don\'t.

LP81
Beiträge: 18
Registriert: Mi 14.05.2008, 12:08

Beitrag von LP81 »

@Carsten: Ich hörte davon ... Aber manchmal ist irren ja auch menschlich, oder man sieht den Wald vor lauter Bäumen nicht :-D
Zuletzt geändert von LP81 am Mi 11.06.2008, 14:42, insgesamt 1-mal geändert.

Christian-ML
Beiträge: 5
Registriert: Di 19.06.2012, 12:25

Beitrag von Christian-ML »

Hallo Securepoint Team,
wir setzen für unsere Außendienstler hauptsächlich Fritzboxen ein.
Jedoch möchte ich den IPSec Tunnel mit AES (128bit) / SHA1 (G2) verschlüsseln und nicht mit 3DES / SHA1 (G2).
Mit getesteten DrayTek Routern ist das kein Problem, nur mit den Fritzboxen habe ich bisher keine lauffähige Lösung gefunden.
Wobei AVM als möglichen phase1ss "alt/aes/sha" und im phase2ss "esp-aes-sha/ah-no/comp-no/pfs" anbietet.
Vielleicht habt ihr eine Lösung für mich.

Vielen Dank.
Christian

Benutzeravatar
Erik
Securepoint
Beiträge: 1479
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Eine Patentlösung gibt es dafür nicht. Tante Google hat das hier ausgespuckt, was auf den ersten Blick recht hilfreich aussieht. Wichtig ist nur, dass Sie immer "comp-no" verwenden.

Gesperrt