VPN Lancom 1681V - Fritzbox 7390

Chandini · Beitrag von **Chandini** » 09 Okt 2012, 12:18

Hallo zusammen!

Ich versuche, ein VPN zwischen Lancom und Fritzbox aufzubauen. Dabei habe ich mich an die Anleitung gehalten, die hier im Forum zu finden ist. Ich habe auch schon das MultiConnect Tool probiert. Bisher alles erfolglos.

Momentan letzter Stand ist die Konfig nach Anleitung.
Die Fritzbox meldet, dass die Verbindung aufgebaut wird, zeigt aber immer den Fehler "IKE-Error 0x1c". Hin und wieder auch "IKE-Error 0x2027".
Der Trace im Lancom bringt folgenden Fehler: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for FRITZ!BOX-FAG.

Die Netzwerke haben dynamische IP-Adressen und sind über DynDNS erreichbar. Der Ping auf die jeweilige DynDNS Adresse liefert auch die korrekte IP zurück. Allerdings sagen die Fehlermeldungen anscheinend, dass die jeweilige Gegenstelle nicht erreichbar ist.
Der Lancom löst die IP richtig auf, sie ist auch im Trace zu finden.

Hier ist die Konfig für die Fritzbox:

Code: Alles auswählen

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "LANCOM_VPN";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "REMOTE.dyndns.org";
                localid {
                        fqdn = "FRITZBOX";
                }
                remoteid {
                        fqdn = "LANCOM1681V";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "12345";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.2.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

In der Anleitung fehlt der Eintrag für phase2remoteid. Ich habe beide Varianten probiert.

Und hier ein Auszug aus dem Lancom Trace:

Code: Alles auswählen

[VPN-Status] 2012/10/09 11:17:38,500  Devicetime: 2012/10/09 11:17:40,482
VPN: connection for FRITZ!BOX-FAG (92.x.x.x) timed out: no response

[VPN-Status] 2012/10/09 11:17:38,500  Devicetime: 2012/10/09 11:17:40,483
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for FRITZ!BOX-FAG (92.x.x.x)

[VPN-Status] 2012/10/09 11:17:38,500  Devicetime: 2012/10/09 11:17:40,483
VPN: disconnecting FRITZ!BOX-FAG (92.x.x.x)
...
...
...
[VPN-Status] 2012/10/09 11:17:39,640  Devicetime: 2012/10/09 11:17:41,536
VPN: start IKE negotiation for FRITZ!BOX-FAG (92.x.x.x)

[VPN-Status] 2012/10/09 11:17:39,640  Devicetime: 2012/10/09 11:17:41,536
VPN: WAN state changed to WanProtocol for FRITZ!BOX-FAG (92.x.x.x), called by: 006cfffc

[ICMP] 2012/10/09 11:17:40,656  Devicetime: 2012/10/09 11:17:42,510
ICMP poll timeout for FRITZ!BOX-FAG
remote site did not answer during intervall
(30 retries left)
send poll frame to 192.168.178.1

[ICMP] 2012/10/09 11:17:40,656  Devicetime: 2012/10/09 11:17:42,510
ICMP generate packet for Dest-IP: 192.168.178.1: Echo request, ID: 261, Seq: 0, Tx (WAN, FRITZ!BOX-FAG)

Was mache ich da falsch? Danke schon mal für eure Hilfe!

Grüße
Ines

AS1306 · Beitrag von **AS1306** » 09 Okt 2012, 18:15

Hallo Ines, der dargestellte Code stimmt tatsächlich 1:1 mit Deiner Konfiguration überein? Was mir auf Anhieb auffällt, die fqdn-Angabe für die Fritzbox in der Configdatei dergleichen ist "FRITZBOX" und nicht "FRITZ!BOX-FAG" ...

Code: Alles auswählen

localid { 
                        fqdn = "FRITZBOX"; 
                }

... wie das im Trace des Lancom-Routers dann sehr schön zu sehen ist! Diese Angabe sollte selbstverständlich identisch sein! Gleich das mal bitte ab, da das mit Sicherheit zu einer Fehlermeldung bzw. nicht zum VPN-Connect führen wird!

Grüße aus Berlin

Andreas

Chandini · Beitrag von **Chandini** » 09 Okt 2012, 23:48

Hallo Andreas

In der Config vom Lancom ist unter "IKE-Schlüssel und Identitäten" bei entfernter Identität "FRITZBOX" eingetragen.

Ich habe aber eben auch mal in der Config der Fritzbox den Eintrag geändert auf "FRITZ!BOX-FAG". Gleiche Fehlermeldungen auf beiden Seiten.

Über eines bin ich noch gestolpert:
In der Anleitung steht bei der Config der Fritzbox als Beispiel für den Remote Hostnamen "test.dyndns.org", also der DynDNS Eintrag des Lancom.
Dieser Eintrag findet sich auch in der Verbindungsliste des Lancom als entferntes Gateway. Müsste hier nicht der DynDNS Name der Fritzbox rein? Das hatte ich ursprünglich drin und damit hat der Lancom Trace auch die korrekte IP der Fritzbox angezeigt. Wenn ich hier die DynDNS Adresse des Lancom eintrage, will er das VPN ja mit sich selbst aufbauen?! Zumindest laut Anzeige der IP-Adresse. Es funktioniert auch damit nicht (gleiche Fehlermeldungen), ich will nur die Fehlerquelle ausschließen können.

Die restlichen Einstellungen habe ich nochmal genau verglichen. Die stimmen mit der Anleitung überein.

Viele Grüße
Ines

backslash · Beitrag von **backslash** » 10 Okt 2012, 12:29

Hi Chandini,

im LANCOM muß der DyxnDNS-Name der Fritzbox als remotes Gateway eingetragen sein und in der Fritzbox natürlich der DynDNS-Name des LANCOMs. Ferner müssen lokale und remote Indetitäten überkreuz gleich sein, d.h. im LANCOM: lokal "LANCOM" remote "FRITZBOX" und umgekehrt in der Fritzbox: lokal "FRITZBOX" remote "LANCOM".

Und dann wäre es sinnvoll, die Verbindung mal von der Fritzbox auf aufzubauen und das ganze am LANCOM mitzutracen.

Ach ja, noch etwas: Aggressive-Mode zusammen mit preshared Key ist DER Security-GAU... Wenn beide Seiten einen DynDNS-Namen haben dann solltest du tunlichst den Main-Mode verwenden.

Gruß
Backslash