Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

ZyWALL USG 20 mit FritzBOX WLAN 7360 via IPSecVPN verbinden

Mitglied: iceget
Hallo liebe Community,

habe folgendes Problem:
Standort A = eine ZyWALL USG 20 (auch) mit einer ZyWALL 2 + getestet (beide aktuellste Firmware)
Standort B = eine FritzBox Fon WLAN 7360 (Modell: FRITZ!Box Fon WLAN 7360, FRITZ!OS:06.52-33765 BETA)

Beide haben eine statische IP-Adresse.

Standort A: 192.168.20.0/24 - WAN: 91.113.X.X
Standort B: 192.168.21.0/24 - WAN: 88.116.X.X

Meine Konfiguration Standort A:

Phase 1:

Phase 2:

Meine VPN-Konfiguration auf der Fritzbox:

Nun zum eigentlichen Problem.
Der Tunnel geht auf, ohne Probleme. Leider schreibt die Fritzbox nach diesen 3600 Sekunden folgende Meldungen:

Der Meldung nach auf der Fritzbox 0x2026: IKE-Error 0x2026 "no proposal chosen"
Der Meldung nach auf der Fritzbox 0x203d: IKE-Error 0x203D "phase 1 sa removed during negotiation"

auf der Gegenseite ZyWALL:

Folgendes hab ich schon versucht:
- Main + Aggressive
- SHA1 / MD5
- 3DES / AES128

D.h. kurz; jede Stunde wird der Tunnel für zirka 15 Sekunden getrennt, und verbindet sich jedoch dann wieder selbst.

Habe auch versucht beide LifeTimes (P1+P2) von 3600 auf 86400 zu setzen. Auch P1: 3600 und P2: 86400 und umgekehrt.

Könnt ihr mir helfen? Was mache ich falsch?
log

So sieht dies auf den Geräten aus:

Content-Key: 316523

Url: https://administrator.de/contentid/316523

Ausgedruckt am: 05.12.2021 um 12:12 Uhr

Mitglied: aqui
aqui 29.09.2016 aktualisiert um 15:55:26 Uhr
Goto Top
Was mache ich falsch?
Negotiation Mode Main ist falsch wenn du Fremdhersteller koppelst. Hier solltest du unbedingt beide Seiten in den Agressive Mode setzen.
"no proposal chosen" bedeutet das sich beide Seiten nicht auf eine gemeinsame Cipher Suite (Phase 2) einigen können.
3DES und SHA1 bzw. AES128 und SHA1 sollte eigentlich immer klappen wenn das auf beiden Seiten eingestellt ist. Das ist eigentlich der reguläre minimale Standard.
https://blog.webernetz.net/2015/03/11/fritzos-ab-06-23-ipsec-p2-proposal ...
und auch
http://forum.ipfire.org/viewtopic.php?t=16254
Auch die zyklische Trennung zeugt von einem Lifetime Mismatch auf beiden Seiten. Den solltest du auf alle Fälle anpassen das der identisch ist.
Weitere Grundlagen zu der Thematik findest du in diesem Forums Tutorial:
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
Bzw. ein identischer Forumsthread.
https://www.administrator.de/content/detail.php?id=316404&token=59
Mitglied: iceget
iceget 30.09.2016 aktualisiert um 11:20:30 Uhr
Goto Top
Hallo aqui,

danke für deine Antwort.

Habe mir alles durchgelesen, und habe mittlerweile auch dei ZyWALL USG 20 in Verwendung.

Folgendes Setup seitens FritzBOX:

Konfiguration ZyWALL:
p1

p2

Log nach Verbindungsaufbau (trotz Fehler, der Tunnel steht):
log

Hab auch anderen Konfigurationen versucht, leider immer das gleiche Ergebnis.

Was mach ich falsch?

Danke und lg
Mitglied: iceget
iceget 03.10.2016 um 14:41:11 Uhr
Goto Top
Hab nochmal mit AVM telefoniert. Die haben mir auch die aktuellsten Strategien geschickt,
hab dann noch mal etwas rum experimentiert, folgendes läuft anstandslos:

Fritzbox-Konfiguration:

ZyWALL-Konfiguration:
config

Hier nochmal die Infos von AVM.
Die FRITZ!Box unterstützt folgende Sicherheitsstrategien für VPN-Verbindungen IKE Phase 1 und 2

IPSEC-Strategien für die Phase 1

IPSEC-Strategien für die Phase 2

Seitens AVM die Lifetime-Konfiguration:
Für die IKE-KPhase 1 und 2 ist die Lifetime auf 1 Stunde festgesetzt, außer für

IKE Phase 1
"LT8h/all/all/all"

und IKE Phase 2

"LT8h/esp-all-all/ah-none/comp-all/pfs"
und
"LT8h/esp-all-all/ah-none/comp-all/no-pfs"

Hier ist die Lifetime der SAs auf 8 Stunden.



Lg
Mitglied: aqui
aqui 04.10.2016 um 14:23:39 Uhr
Goto Top
Danke für das hilfreiche Feedback !
Heiß diskutierte Beiträge
general
Zur AdventszeitAnkhMorporkVor 1 TagAllgemeinHumor (lol)2 Kommentare

Wer es nicht kennt, sollte es kennen lernen (mMn): Viel Spaß, jede Diskussion überflüssig Ankh ...

question
Google-Konto: PW-Rücksetzung funktioniert nichtmrserious73Vor 1 TagFrageE-Mail13 Kommentare

Hallo zusammen, habe hier gerade einen merkwürdigen Fall: Habe ein gmail-Konto, für das das Passwort nicht mehr bekannt ist. Da das Konto in Thunderbird gespeichert ...

question
Pfsense sinnvoll in Umgebung einbindendertowaVor 1 TagFrageLAN, WAN, Wireless8 Kommentare

Hallo zusammen, ich grüble schon länger über eine saubere Möglichkeit zur Integration der pfsense, da ich mich damit auch gern mal beschäftigen möchte. Aktuell habe ...

question
Einstreuung - Fremdspannung im Netzwerkkabel kompensieren2U1C1D3Vor 15 StundenFrageNetzwerkgrundlagen10 Kommentare

Hallo zusammen! Ich muss bei einer Netzwerkinstallation zu einem Client ein Spezialkabel mit einbinden. Die vollständige Installation ist CAT6, 1000BaseT, das Spezialkabel ist aber nur ...

question
Apps auf dem PC wie auf dem Handy in OrdnernDavidH01Vor 1 TagFrageEntwicklung2 Kommentare

Hallo. Weiß jemand ob es möglich ist auf Windows einen Ordner zu erstellen in dem Apps sind, so wie auf dem Handy? Wenn man z.B. ...

general
Downloadportal gesuchtdeethreeVor 10 StundenAllgemeinCloud-Dienste4 Kommentare

Guten Morgen, hat jemand eine kostenfreie / kostenfplichtige Empfehlung für diese Anforderung: Im Zuge von Corona müssen wir pro Kunde zwei Dokumente bereitstellen und dieser ...

general
Ticket System Open Source SolutionmannixdVor 19 StundenAllgemeinWebentwicklung4 Kommentare

Hallo zusammen, ich stehe vor folgendem Problem, bzw. hätte gern ein paar Ratschläge. Unser Kunde möchte ein Ticket-System (Help-Desk) Solution. Das ganze möchte der Kunde ...

question
Namen für Patchfeld Jacks als Kupplung gesucht gelöst StefanKittelVor 5 StundenFrageNetzwerke5 Kommentare

Hallo, bei einem Kunden kommt man bei einem 19" NetzwerkSchrank weder über die Rückseite noch üer die Seiten an die Rückseite der Geräte. Nun suche ...