Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

ZyWALL USG 20 mit FritzBOX WLAN 7360 via IPSecVPN verbinden

Mitglied: iceget
Hallo liebe Community,

habe folgendes Problem:
Standort A = eine ZyWALL USG 20 (auch) mit einer ZyWALL 2 + getestet (beide aktuellste Firmware)
Standort B = eine FritzBox Fon WLAN 7360 (Modell: FRITZ!Box Fon WLAN 7360, FRITZ!OS:06.52-33765 BETA)

Beide haben eine statische IP-Adresse.

Standort A: 192.168.20.0/24 - WAN: 91.113.X.X
Standort B: 192.168.21.0/24 - WAN: 88.116.X.X

Meine Konfiguration Standort A:

Phase 1:

Phase 2:

Meine VPN-Konfiguration auf der Fritzbox:

Nun zum eigentlichen Problem.
Der Tunnel geht auf, ohne Probleme. Leider schreibt die Fritzbox nach diesen 3600 Sekunden folgende Meldungen:

Der Meldung nach auf der Fritzbox 0x2026: IKE-Error 0x2026 "no proposal chosen"
Der Meldung nach auf der Fritzbox 0x203d: IKE-Error 0x203D "phase 1 sa removed during negotiation"

auf der Gegenseite ZyWALL:

Folgendes hab ich schon versucht:
- Main + Aggressive
- SHA1 / MD5
- 3DES / AES128

D.h. kurz; jede Stunde wird der Tunnel für zirka 15 Sekunden getrennt, und verbindet sich jedoch dann wieder selbst.

Habe auch versucht beide LifeTimes (P1+P2) von 3600 auf 86400 zu setzen. Auch P1: 3600 und P2: 86400 und umgekehrt.

Könnt ihr mir helfen? Was mache ich falsch?
log

So sieht dies auf den Geräten aus:

Content-Key: 316523

Url: https://administrator.de/contentid/316523

Ausgedruckt am: 22.10.2021 um 19:10 Uhr

Mitglied: aqui
aqui 29.09.2016 aktualisiert um 15:55:26 Uhr
Goto Top
Was mache ich falsch?
Negotiation Mode Main ist falsch wenn du Fremdhersteller koppelst. Hier solltest du unbedingt beide Seiten in den Agressive Mode setzen.
"no proposal chosen" bedeutet das sich beide Seiten nicht auf eine gemeinsame Cipher Suite (Phase 2) einigen können.
3DES und SHA1 bzw. AES128 und SHA1 sollte eigentlich immer klappen wenn das auf beiden Seiten eingestellt ist. Das ist eigentlich der reguläre minimale Standard.
https://blog.webernetz.net/2015/03/11/fritzos-ab-06-23-ipsec-p2-proposal ...
und auch
http://forum.ipfire.org/viewtopic.php?t=16254
Auch die zyklische Trennung zeugt von einem Lifetime Mismatch auf beiden Seiten. Den solltest du auf alle Fälle anpassen das der identisch ist.
Weitere Grundlagen zu der Thematik findest du in diesem Forums Tutorial:
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
Bzw. ein identischer Forumsthread.
https://www.administrator.de/content/detail.php?id=316404&token=59
Mitglied: iceget
iceget 30.09.2016 aktualisiert um 11:20:30 Uhr
Goto Top
Hallo aqui,

danke für deine Antwort.

Habe mir alles durchgelesen, und habe mittlerweile auch dei ZyWALL USG 20 in Verwendung.

Folgendes Setup seitens FritzBOX:

Konfiguration ZyWALL:
p1

p2

Log nach Verbindungsaufbau (trotz Fehler, der Tunnel steht):
log

Hab auch anderen Konfigurationen versucht, leider immer das gleiche Ergebnis.

Was mach ich falsch?

Danke und lg
Mitglied: iceget
iceget 03.10.2016 um 14:41:11 Uhr
Goto Top
Hab nochmal mit AVM telefoniert. Die haben mir auch die aktuellsten Strategien geschickt,
hab dann noch mal etwas rum experimentiert, folgendes läuft anstandslos:

Fritzbox-Konfiguration:

ZyWALL-Konfiguration:
config

Hier nochmal die Infos von AVM.
Die FRITZ!Box unterstützt folgende Sicherheitsstrategien für VPN-Verbindungen IKE Phase 1 und 2

IPSEC-Strategien für die Phase 1

IPSEC-Strategien für die Phase 2

Seitens AVM die Lifetime-Konfiguration:
Für die IKE-KPhase 1 und 2 ist die Lifetime auf 1 Stunde festgesetzt, außer für

IKE Phase 1
"LT8h/all/all/all"

und IKE Phase 2

"LT8h/esp-all-all/ah-none/comp-all/pfs"
und
"LT8h/esp-all-all/ah-none/comp-all/no-pfs"

Hier ist die Lifetime der SAs auf 8 Stunden.



Lg
Mitglied: aqui
aqui 04.10.2016 um 14:23:39 Uhr
Goto Top
Danke für das hilfreiche Feedback !
Heiß diskutierte Beiträge
question
Einfache Software für MitarbeiterinformationichbinwerichbinVor 1 TagFrageZusammenarbeit9 Kommentare

Guten Morgen Ich lese hier schon seit Jahren und bräuchte jetzt mal einen Hinweis. Ich weiss nicht ob Fragen nach Software beantwortet werden (Werbung?) aber ...

question
Netzwerk Neuaufbau - DHCP - VLANs gelöst SommelierVor 1 TagFrageWindows Server17 Kommentare

Hallo zusammen! Wir ziehen gerade unser Netzwerk neu auf, und ich wollte mir bei euch Rat einholen. Wir wollen verschiedene VLANs anlegen: Printer (172.16.20.0/24) Windowsumgebung ...

question
Netzwerkplan u. Kabelbelegung zeichnen? gelöst McLionVor 19 StundenFrageNetzwerke11 Kommentare

Hallo zusammen, ich suche irgendein Tool (am besten Open Source) um Netzwerkpläne zu zeichnen. Diese gibt es zwar wie Sand am Meer, aber mir geht's ...

question
Gefahren durch Nutzung von EOL Smartphones (end of life support)nachgefragtVor 20 StundenFrageSicherheit13 Kommentare

Hallo Administratoren, weil Freitag ist erlaube ich mir die Frage (brainstorming): Welche Gefahren hinsichtlich IT-Sicherheit und Datenschutz seht ihr bei der Nutzung von (eol) Smartphones, ...

question
Nebenstellenkreis von 2stellig auf 3stellig - was geschieht mit den bisherigen Rufnummerndeparture69Vor 23 StundenFrageTK-Netze & Geräte13 Kommentare

Hallo. Bei uns besteht für 2022 die Anforderung, deutlich mehr Bürotelefone in Einsatz zu bringen. Die Anzahl der Nebenstellen ist vertragsseitig derzeit aber auf 100 ...

question
Standort vs. Standort gelöst erikroVor 1 TagFrageWindows Server8 Kommentare

Moin, Hintergrund der Frage ist, dass ich für ein PS-Skript auf dem RDS wissen muss, wo der Client steht. Ich hatte zuerst die Idee, das ...

question
HA Konstrukt für Firmennetzwerk mit mehreren WAN VerbindungenITAllrounderVor 1 TagFrageLAN, WAN, Wireless19 Kommentare

Guten Morgen zusammen, ich stehe gerade vor der Überlegung unser Firmen Netzwerk etwas umzustrukturieren. Aktuell primäres Problem: Wir haben theoretisch 2x Sophos XG310 (nur 1x ...

question
Mitarbeiter Onboarding Trainings Program on Premise gelöst MineralwasserVor 1 TagFrageSonstige Systeme3 Kommentare

Guten Nachmittag Kennt jemand ein gutes Programm das als Web-Service läuft, jedoch am besten nicht in der Cloud um die Mitarbeiter zu schulen. Also wenn ...