S-2-S-VPN zwischen UDM-Pro & FRITZ!Box - mal wieder

Es gibt 6 Antworten in diesem Thema, welches 399 mal aufgerufen wurde. Der letzte Beitrag () ist von bic.

  • Hallöchen,

    ich bin schon wieder am Verzweifeln mit diesem VPN-Gedöns bei der Fritzbox.

    Auf der DM-Seite hab ich folgendes eingestellt:

    Code
    Key Exchange Version: IKEv1
    Encryption: AES-256
    Hash: SHA1
    IKE DH Group: 2
    ESP DH Group: 5
    PFS Enabled
    Route-Based VPN Enabled
    Route Distance 30
    
    Und die Remote-IP von wo die Anfrage kommt und die IP-Adress-Range 192.168.1.0/24 die im Fritzbox-Netz verwendet wird.

    Bei der Fritzbox hab ich jetzt einfach mal Verbindung zu Firmennetzwerk gewählt und das wars.Das Ergebniss mit swanctl kommt dann so daher:

    Auffällig ist hier:

    IDir '37.247.77.135' does not match to '37.247.77.135'

    Die ID Key-ID kann ich aber im Site2Site-Dialog der DM gar nirgends eingeben glaub ich jedenfalls. Kann mir jemand sagen wo da genau der Fehler liegt?

  • Ich antworte mir mal selbst nachdem das jetzt stabil läuft:


    auf der Dream Machine hab ich die config der VPN-Verbindung anpassen müssen da die Weboberfläche das nicht hergibt.

    Ich habe folgendes angepasst:

    Code
    rightid=myfritz-adresse
    leftid=dyndns der DM
    
    esp=3des-sha1-modp1024

    Die Fritzbox hat folgende Änderungen bekommen:

    Code
    remoteip = Externe IP der DM
    remotehostname = dyndns der DM
    localid
    fqdn= "myfritz-Adresse)
    remoteid
    fqdn= "dyndns der DM"
    
    phase1ss = "all/all/all";
    phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";

    Rest ist so wie in den zahlreichen Beispielen im Netz oder wie es dieser Fritzbox VPN Konfigurator ausspuckt. Wichtig ist wohl das fqdn und nicht ipaddr verwendet wird.


    Damit baut er jetzt einen Stabilen Tunnel auf.

  • Hallo PeaceMkr ,


    schade, dass Du keine Software-Stände der verwendeten Gateways genannt hast oder welche FRITZ!Box zum Einsatz kommt. (im Allgemeinen)

    Der Config nach handelt es sich nicht um WireGuard, was Du zum Laufen bringen wolltest. (im Speziellen)


    Schön, dass Du es hinbekommen hast. :thumbs_up:

  • razor

    Hat das Label erledigt hinzugefügt.
  • razor

    Hat den Titel des Themas von „DM Pro <-> Fritzbox Site2Site-VPN.. mal wieder“ zu „S-2-S-VPN zwischen UDM-Pro & FRITZ!Box - mal wieder“ geändert.
  • Hallo razor, das kann ich nachliefern. Soweit ich weiß kann die DM ja kein Wireguard bzw. hab ich das nirgends gesehen und die Fritz kanns ja auch erst ab 07.50.

    Also um das ganze zu komplettieren:

    Fritzbox 5490 mit Fritz!OS 07.29

    Dream Machine Pro 1.12.33

    Das ganze ist ein IPSec-Tunnel über die Site2Site-Verbindung.

  • Anbei noch die Fritzbox-Config auf Nachfrage eines Forumsusers. Das in eine Textdatei kopieren und diese übers Webinterface einlesen.

    Was ich bisher feststellen konnte war allerdings das der Tunnel bei der Zwangstrennung und Vergabe einer neuen IP neu eingerichtet werden muß was ziemlich lästig ist weil die DM leider keine DNS-Einträge mag.

  • Hi Zusammen,

    erstmal danke für den Input. Der VPN Tunnel steht :smiling_face:


    Aber es fließen noch keine Daten drüber.

    Muss ich noch eine extra Route setzen?


    Log der UDM:

    2023-02-04T15:22:29+01:00 Dream-Machine-SE charon[3171799]: 02[ENC] generating QUICK_MODE request 1379349665 [ HASH ]

    2023-02-04T15:22:29+01:00 Dream-Machine-SE charon[3171799]: 02[ENC] generating QUICK_MODE request 3935411295 [ HASH SA No KE ID ID ]

    2023-02-04T15:22:29+01:00 Dream-Machine-SE charon[3171799]: 03[ENC] parsed INFORMATIONAL_V1 request 2646887692 [ HASH D ]

    2023-02-04T15:22:29+01:00 Dream-Machine-SE charon[3171799]: 08[ENC] parsed INFORMATIONAL_V1 request 266201648 [ HASH D ]

    2023-02-04T15:22:30+01:00 Dream-Machine-SE charon[3171799]: 10[ENC] parsed QUICK_MODE response 3935411295 [ HASH SA No KE ID ID ]

    2023-02-04T15:22:30+01:00 Dream-Machine-SE charon[3171799]: 10[IKE] CHILD_SA 63de55075df4957dc200e330{12} established with SPIs c5d3a42b_i a9cd434b_o and TS 0.0.0.0/0 === 0.0.0.0/0

    2023-02-04T15:22:30+01:00 Dream-Machine-SE charon[3171799]: 10[CHD] updown: ok


    Log der Fritz

    VPN-Verbindung zu **** [xxx] IKE SA: DH2/AES-256/SHA1 IPsec SA: ESP-3DES/SHA1/LT-3600 wurde erfolgreich hergestellt.

    UDM Config

    conn ****


    ## basics ##

    auto=start

    authby=secret

    type=tunnel


    ## timeouts ##

    dpdaction=restart

    dpddelay=30s

    dpdtimeout=120s


    ## connection data ##

    left=DynUDM

    right=DynFB

    mark_in=0x04000000/0xfe000000

    mark_out=0x04000000/0xfe000000


    ## routing ##

    leftsubnet=0.0.0.0/0

    rightsubnet=0.0.0.0/0

    fragmentation=yes

    compress=no


    ## phase 1 (IKE) ##

    keyexchange=ikev1

    aggressive=no

    ike=aes256-sha1-modp1024!

    reauth=yes

    ikelifetime=28800s


    ## phase 2 (ESP) ##

    esp=3des-sha1-modp1024

    rekey=yes

    keylife=3600s

    keyingtries=%forever

    forceencaps=no


    ## notifications ##

    leftupdown=/etc/ipsec.d/tunnels/63de55075df4957dc200e330.ipsec.s2s.updown


    FB Config wie oben


    Habt ihr eine Idee?


    Danke


    ---

    Thomas

  • Hast du denn bei beiden Kisten die per VPN zu verbindenden Netze über Kreuz eingetragen? So zum Beispiel:


    Fritte: local xxx.xxx.xxx.0, entfernt yyy.yyy.yyy.0

    UDM: local yyy.yyy.yyy.0, entfernt xxx.xxx.xxx.0


    Denn normaler Weise müssen bei site-2-site IPsec-VPN keine Routen händisch gesetzt werden, dass erledigen die Router von allein.