Site-to-Site VPN mit Cisco RV320 und AVM

Mitglied: quirmi

quirmi (Level 1) - Jetzt verbinden

28.05.2014, aktualisiert 28.04.2015, 8830 Aufrufe, 8 Kommentare, 2 Danke

Hallo liebe Admins! :) face-smile

ich habe momentan folgendes Szenario:

Drei Standorte sind mit drei Fritzboxen (2x3370, 1x3270) via VPN (Site-to-Site)miteinander verbunden.

Nun habe ich in der Zentrale eine CompanyConnect Leitung der Telekom mit 10MBit bestellt und möchte den internen datenverkehr darüber laufen lassen.

D.h. in der Zentrale bleibt die Fritzbox für den Internetzugang bestehen und die CoCo soll für den internen Verkehr benutzt werden.
An der CoCo ist ein Cisco RV320 Router installiert.

Ich möchte nun den Cisco RV320 mit den beiden Fritzboxen in den anderen Filialen per Site-to-Site mit IPSec verbinden.

Doch irgendwie bekomme ich das nicht hin.
Die Firmware auf allen Routern ist aktuell, sie verfügen alle über feste IP Adressen und die Beispiele und Konfigurationen auf der AVM Seite (Verbinung mit Watchguard, Cisco Pix, Bintec, etc.) haben mir leider nicht weitergeholfen.

Die Fritzbox versucht sich auf den Cisco zu verbinden, bekommt aber eine Fehlermeldung (Timeout).
Im Log File des Cisco Routers sehe ich eine akzeptierte eingehende Verbindung auf UDP Port 500, aber weiter passiert nichts.

Hat von euch vielleicht jemand Erfahrung damit und kann mir den entscheidenden Hinweis geben?

Besten Dank schon mal im Voraus und Grüße
Quirmi
Mitglied: aqui
LÖSUNG 28.05.2014, aktualisiert um 12:15 Uhr
Grundlagen zu IPsec VPN Kopplungen mit Hersteller übergreifenden Geräten findest du in diesem Tutorial:
https://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Essentiell wichtig sind hier die Phase 1 und Phase 2 Profiles was Verschlüsselung SHA, MD5 etc. anbetrifft. Die müssen zwingend auf beiden Seiten identisch sein sonst kommt es zum Abbruch.
AVM supportet lediglich AES 256, Hash Algorithm SHA1, DH Keygroup 2. (Die DH Keygroup 2 definiert AVM mit "alt" !!)
Diese Parameter müssen also genau so auch in der RV-320 so festgelegt werden !!
Bei Hersteller übergreifendem IPsec ist es sinnvoll immer den "Agressive" Mode zu verwenden !
Sehr sinnvol wäre es wenn du einen Log oder Syslog Auszug posten könntest der die Meldungen des Verbindungsaufbaus hier zeigt.
Wichtig: Der RV 320 ist KEIN Router mit integriertem Modem !!
Es stellt sich also hier die Frage WIE dieser Router mit seinem WAN Port am Internet hängt ?? Hast du das mit einer Router Kaskade gemacht, sprich also einem vorgeschaltetem Router, dann musst du dort zwingend ein Port Forwarding folgender Ports des vorgeschalteten Routers auf die WAN IP des RV-320 Routers einrichten:
UDP 500
UDP 4500
ESP Protokoll
Passiert das nicht, kann der IPsec Verbindungsversuch die NAT Firewall des vorgelagerten Routers nicht überwinden und eine VPN Verbindung scheitert schon per se ! Das siehst du daran das im Log schon ein sofortiger Abbruch in der Phase 1 passiert !
Ist ein simples reines, passives Modem davor entfällt das natürlich. Kläre also auch bitte diesen technischen Sachverhalt vorher !
Bitte warten ..
Mitglied: quirmi
28.05.2014 um 12:23 Uhr
Hallo aqui und vielen Dank für dein schnelles Feedback!

Ich habe mit dem Provider gesprochen...der vorgeschaltete Router leitet alle Anfragen an meinen Cisco RV320 weiter.
Die VPN Konfiguration des Cisco RV320 habe ich jetzt nach deinen Angaben angepasst.

Phase 1 und Phase 2:
DH Group 2
Encryption AES256
Authentication SHA1
Lifetime 3600

Aggressiv Mode True
Keep-Alive True

Anbei die cfg Datei der Fritzbox:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "VPN_NAME";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 217.6.XXX.XXX; feste IP Cisco Zentrale
remote_virtualip = 0.0.0.0;
localid {
ipaddr = 87.139.XXX.XXX;
feste IP FritzBox Filiale 1
}
remoteid {
ipaddr = 217.6.XXX.XXX; feste IP Cisco Zentrale
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "f08XXX";
Key
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.100.0; NETZ Filiale 1
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.2.0;
Nezt Zentrale
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.2.0 255.255.255.0"; //lokale Netz Zentrale
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

Dort liegt bestimmt der Fehler in Bezug auf deinen Kommentar "Die DH Keygroup 2 definiert AVM mit "alt"".

Danke und Grüße
Quirmi
Bitte warten ..
Mitglied: aqui
28.05.2014 um 16:07 Uhr
Ich habe mit dem Provider gesprochen...der vorgeschaltete Router leitet alle Anfragen an meinen Cisco RV320 weiter.
Das ist natürlich Blödsinn, denn diese Frage kann dir niemals dein Provider beantworten sofern DU diesen vorgeschalteten Router betreust ?! Das richtige Port Forwarding ist dann deine Aufgabe !
Es sei denn....
Das ist ein Zwangsrouter vom Provider, dann ist das natürlich anders, denn auf den hast du ja keinen Zugriff um das zu verifizieren und kannst dem Provider dann nur blind vertrauen.
Trotzdem solltest du da mal einen Wireshark reinklemmen und checken ob das stimmt was er sagt !! Da dort of tauch nur Honks an der Hotline sitzen gilt: "Vetrauen ist gut, Kontrolle ist besser" !
Zu dem DS-Lite Thema hat er nix gesagt ???

Gut, da der Thread ja von dir jetzt auf "Gelöst" gesetzt ist gehen wir mal davon aus das es jetzt rennt ??!!
Bitte warten ..
Mitglied: quirmi
28.05.2014 um 16:27 Uhr
Ja, der Router ist ein Zwangsrouter vom Provider (Standleitung der Telekom).
Nein, gelöst ist das Thema noch nicht...kannst du dir vielleicht mal die Fritzbox Konfig anschauen?

Vielleicht liegt ja dort der Fehler.

Vielen Dank nochmals
Quirmi
Bitte warten ..
Mitglied: aqui
28.05.2014, aktualisiert um 16:42 Uhr
Nein, gelöst ist das Thema noch nicht...
Warum setzt du es dann auf "Gelöst" ??

Hilfreich für alle hier wäre ein detailierter Log Auszug vom Cisco und vom AVM.
Bitte warten ..
Mitglied: quirmi
28.05.2014 um 16:41 Uhr
kleines verseehen... ;)
Bitte warten ..
Mitglied: aqui
LÖSUNG 28.05.2014, aktualisiert 28.04.2015
....was du als TO immer wieder rückgängig machen kannst !

Wie gesagt ein detailierter Log Auszug von beiden Seiten beim IPsec Verbindungsaufbau würde uns das Troubleshooten erheblich erleichtern.
Bitte warten ..
Mitglied: quirmi
28.04.2015 um 13:27 Uhr
Ist zwar schon etwas länger her, aber hier zur Vollständigkeit die Lösung für das VPN zwischen RV320 und Fritzbox.


Konfig Datei Fritz Box:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "CiscoRV320";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 10.10.10.1; (externe IP RV320)
remote_virtualip = 0.0.0.0;
localid {
ipaddr = 10.5.5.1; (externe IP FritzBox)
}
remoteid {
ipaddr = 10.10.10.1; (externe IP RV320)
}
mode = phase1_mode_aggressive;
phase1ss = "alt/aes/sha";
keytype = connkeytype_pre_shared;
key = "sichersPasswort";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.3.0; (internes Netz FritzBox)
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.2.0; (internes Netz RV320)
mask = 255.255.255.0;
}
}
phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
accesslist = "permit ip any 192.168.2.0 255.255.255.0",
"permit icmp any 192.168.2.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF




Beim RV320 Konfiguriert man einen Tunnel mit folgenden Einstellungen:

IPSec Phase 1:

Group 2
AES-256
SHA1
PFS

Phase 2:
Group2
3DES
SHA1

Aggressive Mode


Beste Grüße
Quirmi
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerke
PFSense und Transferprobleme
Xaero1982Vor 1 TagFrageNetzwerke26 Kommentare

Moin Zusammen, leidiges Thema PFSense - ich hab mich mal wieder ran gewagt. Ich hab hier so ein paar VLANs laufen und nen ESX. ...

Router & Routing
FB und Archer 2 getrennte Netze mit einer WAN-Verbindung
neuhier14Vor 1 TagFrageRouter & Routing26 Kommentare

Hallo, ich habe eine Fritzbox 7490 und einen Archer C5 mit OpenWRT. Die Fritzbox ist mein Hauptrouter. Ich würde daneben gerne ein komplett getrenntes ...

Linux
Bootable Win7 stick from Raspberry commandline
winlinVor 1 TagFrageLinux12 Kommentare

Hallo zusammen Ich benötige einen bootfähigen Win7 USB Stick. Muss diesen über meine Raspberry erstellen. Was ist die beste Variante habe schon ein paar ...

Windows Server
Kein Netzwerkzugriff auf Windows Server 2019?
Henk86Vor 1 TagFrageWindows Server8 Kommentare

Ich habe mir einen neuen "Heimserver" mit Windows Server 2019 (evaluation vorerst) aufgesetzt. Gestern habe ich von meinem Hauptrechner einige Daten auf den Server ...

Exchange Server
Postfach für öffentliche Ordner ist voll
gelöst Tommy525600Vor 1 TagFrageExchange Server6 Kommentare

Hallo an alle, ich habe folgendes Problem: Mein primäres Postfach für öffentliche Ordner ist voll (99,58 GB) (und ja, ich kann auch nix dafür). ...

Netzwerke
Verständnisfrage pfSense mit Fritzbox, VLAN und Switch
newbie1Vor 1 TagFrageNetzwerke10 Kommentare

Hallo, ich bin kurz davor mir eine pfSense einzurichten via ISO-Image auf einem alten PC. Vorhaben: Fritzbox -> pfSense -> Switch -> Endgeräte Was ...

Windows Server
Problem bei Windows 10 Deployment mit MDT
gelöst neophyte2021Vor 1 TagFrageWindows Server7 Kommentare

Hallo, ich habe folgendes Problem, ich habe in einem Artikel auf englisch gelesen, das wenn man mit dem MDT Windows 10 ausrollen will und ...

Off Topic
Bewerbungsfragen FISI
IT-ProVor 14 StundenFrageOff Topic12 Kommentare

Hi, Ja, der Titel mag etwas komisch klingen. Aber das wird sich in den folgenden Zeilen hoffentlich lösen. Ich habe mich hier gerade durch ...