7
Digitalisierungsbox Premium VPN End-to-Site ShrewSoft Probleme
Hallo
Ich habe seit Kurzem eine Digitalisierungsbox Premium.
Bisher habe ich alles funktionierend konfiguriert bekommen: Internet, VoIP, LAN und NAT für http und https. Ich kann von außen auf die http/https-Freigaben zugreifen.
Was aber nicht klappt ist eine Einwahl ins Netzwerk über VPN. Ich habe mich da stark an die Anleitung unter https://www.youtube.com/watch?v=4nFBUa0PP1Q&t=2s gehalten und dann ShrewSoft VPN-Client analog konfiguriert.
Verschlüsselung mit AES und SHA2-256 und DH-Gruppe 14.
In der D-Box Firewall habe ich einen Eintrag für die VPN-Verbindung erstellt und ihr Rechte auf alle Dienste gegeben.
Wenn ich nun versuche mich mit dem VPN der Digitalisierungsbox zu verbinden passiert wenig und ich bekomme einen Negotiation Timeout.
Ich denke, daß die VPN-Anfrage garnicht durch die D-Box durchgeht, sondern irgendwo vorher stecken bleibt.
Muß ich im NAT hierfür noch etwas einstellen (wenn es wie in meinem Fall schon Einträge gibt)?
Bin für Tipps dankbar.
Johannes
Ich habe seit Kurzem eine Digitalisierungsbox Premium.
Bisher habe ich alles funktionierend konfiguriert bekommen: Internet, VoIP, LAN und NAT für http und https. Ich kann von außen auf die http/https-Freigaben zugreifen.
Was aber nicht klappt ist eine Einwahl ins Netzwerk über VPN. Ich habe mich da stark an die Anleitung unter https://www.youtube.com/watch?v=4nFBUa0PP1Q&t=2s gehalten und dann ShrewSoft VPN-Client analog konfiguriert.
Verschlüsselung mit AES und SHA2-256 und DH-Gruppe 14.
In der D-Box Firewall habe ich einen Eintrag für die VPN-Verbindung erstellt und ihr Rechte auf alle Dienste gegeben.
Wenn ich nun versuche mich mit dem VPN der Digitalisierungsbox zu verbinden passiert wenig und ich bekomme einen Negotiation Timeout.
Ich denke, daß die VPN-Anfrage garnicht durch die D-Box durchgeht, sondern irgendwo vorher stecken bleibt.
Muß ich im NAT hierfür noch etwas einstellen (wenn es wie in meinem Fall schon Einträge gibt)?
Bin für Tipps dankbar.
Johannes
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 366766
Url: https://administrator.de/contentid/366766
Printed on: April 26, 2024 at 22:04 o'clock
7 Comments
Latest comment
In der D-Box Firewall habe ich einen Eintrag für die VPN-Verbindung erstellt
Welchen denn ??Die 3 IPsec Komponenten sind UDP 500, UDP 4500 und das ESP Protokoll mit der IP Nummer 50 (Achtung: Kein UDP oder TCP 50 !)
Ich denke, daß die VPN-Anfrage garnicht durch die D-Box durchgeht
Das ist zu vermuten.Leider warst du ja nichtmal in der Lage das Log der D-Box UND auch das Log des VPN Clients hier zu posten
Dann hätten wir sofort gesehen woarn es liegt !
Muß ich im NAT hierfür noch etwas einstellen
Nein, im NAT nicht wenn die D-Box selber VPN Server ist. Aber in der Firewall das die die o.a. Ports zulässt.Siehe auch hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Prozeduren sind mehr oder minder identisch.
Du kannst dir die Shrew Konfig auch am Beispiel der FritzBox ansehen das ist mehr oder minder das gleiche an diesen billigen Consumer Routern:
https://www.rokawedes.de/faq-reader/wie-baue-ich-eine-vpn-verbindung-zur ...
Grundsätzlich muss man sich aber fragen warum du ein Loch in deine Firewall bohrst und deine Web Server im lokalen Netz frei im Internet exponierst dann aber zusätzlich ein VPN aufsetzen willst.
Irgendwie ja etwas widersprüchlich ?!
Okay, Aqui - ich schrieb diesen Beitrag als ich nicht in der Nähe der D-Box war...
Ich habe wie gesagt die VPN-Zugänge anhand der Tutorials angelegt. Ich habe jetzt in IKEv2 zwei VPN-Zugänge definiert und in Phase1 und Phase2 die notwendigen Einträge gemacht.
Das Log der D-Box sagt:
Das Log des ShrewSoft-Client sagt.
Wenn Du über meine Konfiguration schimpfst, Du hattest mir vor Jahren hier mal eine Konfig "gebaut" die auf dem bisher eingesetzten Cisco-router lief: 2x NAT für die dahinterliegenden Webserver und 1x VPN für RDP, SSH, etc. . Wie soll ich es denn hier anders machen? Das NAT ist auf http sowie https beschränkt.
Ich hoffe die Informationen reichen nun, um den Fehler einzugrenzen.
Grüße
Johannes
Ich habe wie gesagt die VPN-Zugänge anhand der Tutorials angelegt. Ich habe jetzt in IKEv2 zwei VPN-Zugänge definiert und in Phase1 und Phase2 die notwendigen Einträge gemacht.
Das Log der D-Box sagt:
1 2018-03-02 16:17:14 Information IPSec P1: peer 0 () sa 27 (R): failed ip XX.XXX.XXX.XX <- id key_id(any:0,[0..13]=vpn_admin) (No proposal chosen)
2 2018-03-02 16:17:14 Information IPSec P1: peer 0 () sa 27 (R): Vendor ID: 91.XXX.YY.XXX:61681 (No Id) is '12f5f28c457168a9702d9fe274cc0100'
3 2018-03-02 16:17:14 Information IPSec P1: peer 0 () sa 27 (R): Vendor ID: 91.XXX.YY.XXX:61681 (No Id) is '8404adf9cda05760b2ca292e4bff537b'
4 2018-03-02 16:17:14 Information IPSec P1: peer 0 () sa 27 (R): Vendor ID: 91.XXX.YY.XXX:61681 (No Id) is '166f932d55eb64d8e4df4fd37e2313f0d0fd8451'
5 2018-03-02 16:17:14 Information IPSec P1: peer 0 () sa 27 (R): Vendor ID: 91.XXX.YY.XXX:61681 (No Id) is 'f14b94b7bff1fef02773b8c49feded26'
6 2018-03-02 16:17:14 Information IPSec P1: peer 0 () sa 27 (R): Vendor ID: 91.XXX.YY.XXX:61681 (No Id) is '3b9031dce4fcf88b489a923963dd0c49'
7 2018-03-02 16:17:14 Information IPSec P1: peer 0 () sa 27 (R): Vendor ID: 91.XXX.YY.XXX:61681 (No Id) is 'Dead Peer Detection (DPD, RFC 3706)'
8 2018-03-02 16:17:14 Information IPSec P1: peer 0 () sa 27 (R): Vendor ID: 91.XXX.YY.XXX:61681 (No Id) is '4048b7d56ebce88525e7de7f00d6c2d380000000'
9 2018-03-02 16:17:14 Information IPSec P1: peer 0 () sa 27 (R): Vendor ID: 91.XXX.YY.XXX:61681 (No Id) is '4a131c81070358455c5728f20e95452f'
10 2018-03-02 16:17:14 Information IPSec P1: peer 0 () sa 27 (R): Vendor ID: 91.XXX.YY.XXX:61681 (No Id) is 'draft-ietf-ipsec-nat-t-ike-03'
11 2018-03-02 16:17:14 Information IPSec P1: peer 0 () sa 27 (R): Vendor ID: 91.XXX.YY.XXX:61681 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02'
12 2018-03-02 16:17:14 Information IPSec P1: peer 0 () sa 27 (R): Vendor ID: 91.XXX.YY.XXX:61681 (No Id) is '16f6ca16e4a4066d83821a0f0aeaa862'
13 2018-03-02 16:17:14 Information IPSec P1: peer 0 () sa 27 (R): Vendor ID: 91.XXX.YY.XXX:61681 (No Id) is 'draft-ietf-ipsec-nat-t-ike-00' Das Log des ShrewSoft-Client sagt.
config loaded for site 'SEITE.vpn'
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon
�Wenn Du über meine Konfiguration schimpfst, Du hattest mir vor Jahren hier mal eine Konfig "gebaut" die auf dem bisher eingesetzten Cisco-router lief: 2x NAT für die dahinterliegenden Webserver und 1x VPN für RDP, SSH, etc. . Wie soll ich es denn hier anders machen? Das NAT ist auf http sowie https beschränkt.
Ich hoffe die Informationen reichen nun, um den Fehler einzugrenzen.
Grüße
Johannes
Nee schimpfen tun wir nicht nur ist das schon komisch das man erst die Sicherheit mit Füßen tritt (Port Forwarding für HTTP) und dann aber ein VPN. Das wiederspricht sich etwas.
Warum du einen Cisco gegen ne billige Bintec Gurke tauschst muss man sicher nicht verstehen, aber egal.
Mit dem Cisco hättest du für die Webserver wenigstens eine siucher DMZ mit Firewall usw. bauen können. Mit der Bintec Gurke entfällt das nun. Aber du wirst ja sic her Gründe dafür haben. Außerdem ist das ein anderes Thema und wir bleiben jetzt erstmal beim VPN.
Also einer bietet AES an der andere kann aber nur 3DES oder sowas. Der Proposal muss alle Schlüsseloptionen umfassen die beide Seiten können.
Das musst du anpassen, dann sollte es sofort klappen.
Mode auf Agressive nicht vergessen.
Warum du einen Cisco gegen ne billige Bintec Gurke tauschst muss man sicher nicht verstehen, aber egal.
Mit dem Cisco hättest du für die Webserver wenigstens eine siucher DMZ mit Firewall usw. bauen können. Mit der Bintec Gurke entfällt das nun. Aber du wirst ja sic her Gründe dafür haben. Außerdem ist das ein anderes Thema und wir bleiben jetzt erstmal beim VPN.
(No proposal chosen)
Das zeigt das die im Bintec konfigurierte Cipher Suite nicht mit dem vom Shrew Client übereinstimmt.Also einer bietet AES an der andere kann aber nur 3DES oder sowas. Der Proposal muss alle Schlüsseloptionen umfassen die beide Seiten können.
Das musst du anpassen, dann sollte es sofort klappen.
Mode auf Agressive nicht vergessen.
Hi Aqui
Nun, neuer VoIP-Anschluss mit SIP-Trunk auf der einen Seite und auf der anderen Seite die mich nervende mega-anstrengende Konfiguration des Cisco-Routers...
Zum Problem:
Ich habe alles nochmal überprüft. Als Cipher ist beiderseits AES 256 ausgewählt, als Authentifizierung SHA2 256 und als DH 14 (2048 Bit). der einzige Unterschied ist höchstens, daß im ShewSoft-Client es bei Phase2 "esp-aes" heißt anstatt "aes" wie es in der D-Box steht.
Ich versteh's nicht!
Johannes
Nun, neuer VoIP-Anschluss mit SIP-Trunk auf der einen Seite und auf der anderen Seite die mich nervende mega-anstrengende Konfiguration des Cisco-Routers...
Zum Problem:
Ich habe alles nochmal überprüft. Als Cipher ist beiderseits AES 256 ausgewählt, als Authentifizierung SHA2 256 und als DH 14 (2048 Bit). der einzige Unterschied ist höchstens, daß im ShewSoft-Client es bei Phase2 "esp-aes" heißt anstatt "aes" wie es in der D-Box steht.
Ich versteh's nicht!
Johannes
mega-anstrengende Konfiguration des Cisco-Routers...
Was bitte ist daran anstrengend. Cisco CLI ist der quasi Standard in der Netzwerkwelt. Das ist so wie Microsoft Klicki Bunti in der PC Welt.Außerdem gibt es hier im Forum ein Abtipp fertiges Tutorial für Anfänger....
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Mal ganz zu schweigen von den Top Debug Möglichkeiten des Routers...aber egal, ganz andere Baustelle.
Laut Fehlermeldung kann aber einer der beiden diese Cipher Kombination nicht. Und da die D-Box diesen Fehler ausgibt ist sie das.
Klick den Shrew mal das er als proposal auch den Klassiker 3DES, AES128 und SHA1 akzeptiert. Bintec ist nicht gerade für Innovationen im Router geschweige denn VPN Umfeld bekannt. Möglich also das die noch olle Kamellen dort im Einsatz haben. Den Versuch ist es wert.
Sieht man sich die meisten Seiten dazu im Internet an:
https://www.router-forum.de/bintec/ipsec-bintec-shrew-soft-client.t51944 ...
http://edv-helferlein.de/digitalisierungsbox-smart-vpn-mit-shrewsoft
https://www.andysblog.de/telekom-digitalisierungsbox-premium-und-vpn-fue ...
kann die Bintec nur AES 128 und SHA 1. Was dann auch deine Fehlermeldung erklären würde.
Hallo Johannes,
wenn du nach dem Video in deiner Frage vorgegangen bist, dann funktioniert das nicht. Shrew ist ein IPSec-Client, der nur IKEv1 kann. Du musst also auf dem Bintec eine andere Verbindung einstellen.
Auf die Schnelle habe ich dieses Video auf Youtube gefunden. Angesehen habe ich es nicht, aber vielleicht hilft es dir weiter.
BB
wenn du nach dem Video in deiner Frage vorgegangen bist, dann funktioniert das nicht. Shrew ist ein IPSec-Client, der nur IKEv1 kann. Du musst also auf dem Bintec eine andere Verbindung einstellen.
Auf die Schnelle habe ich dieses Video auf Youtube gefunden. Angesehen habe ich es nicht, aber vielleicht hilft es dir weiter.
BB
1
Hey BB
Ja, das war's wohl. Die bintec-Plastekiste kann AES256 und SHA256 (würde es ja sonst nicht anbieten).
Aber tatsächlich kann der ShrewSoft VPN-Client nur IKEv1. Somit wären meine Versuche eine Verbindung mit IKEv2 herzustellen vergebens.
Jetzt funktioniert es wie gewünscht.
Grüße
Johannes
Ja, das war's wohl. Die bintec-Plastekiste kann AES256 und SHA256 (würde es ja sonst nicht anbieten).
Aber tatsächlich kann der ShrewSoft VPN-Client nur IKEv1. Somit wären meine Versuche eine Verbindung mit IKEv2 herzustellen vergebens.
Jetzt funktioniert es wie gewünscht.
Grüße
Johannes