IPCOP in VirtualBox - VPN over IPSEC to Fritzbox 7490
Hallo zusammen
Ich versuche seit Tagen ein VPN tunnel aufzubauen was mach ich falsch ?
Rechenzentrum:
Rootserver und VirtualBox Host = X.X.X.149
VirtualBox(IPCOP) = X.X.X.10
Routen sind Okay alles anpingbar auch die aussenfiliale.
Filiale:
Fritzbox 7490
hier mal das Log aus der /var/log/message:
NVNVPN01" #1: max number of retransmissions (2) reached STATE_MAIN_I3. Possible authentication failure: no acceptable response to our first encrypted message
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #1: starting keying attempt 2 of an unlimited number
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: initiating Main Mode to replace #1
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: received Vendor ID payload [XAUTH]
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: received Vendor ID payload [Dead Peer Detection]
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: received Vendor ID payload [RFC 3947] method set to=115
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] meth=108, but already using method 115
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: ignoring unknown Vendor ID payload [a2226fc364500f5634ff77db3b74f41b]
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: enabling possible NAT-traversal with method RFC 3947 (NAT-Traversal)
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: STATE_MAIN_I2: sent MI2, expecting MR2
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike (MacOS X): no NAT detected
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: STATE_MAIN_I3: sent MI3, expecting MR3
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: next payload type of ISAKMP Hash Payload has an unknown value: 126
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: malformed payload in packet
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: | payload malformed after IV
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: | fa 81 52 07 c4 15 0b 2a fe 7d a8 fe e8 b1 31 e0
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: sending notification PAYLOAD_MALFORMED to 217.224.7.231:500
Ich versuche seit Tagen ein VPN tunnel aufzubauen was mach ich falsch ?
Rechenzentrum:
Rootserver und VirtualBox Host = X.X.X.149
VirtualBox(IPCOP) = X.X.X.10
Routen sind Okay alles anpingbar auch die aussenfiliale.
Filiale:
Fritzbox 7490
hier mal das Log aus der /var/log/message:
NVNVPN01" #1: max number of retransmissions (2) reached STATE_MAIN_I3. Possible authentication failure: no acceptable response to our first encrypted message
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #1: starting keying attempt 2 of an unlimited number
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: initiating Main Mode to replace #1
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: received Vendor ID payload [XAUTH]
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: received Vendor ID payload [Dead Peer Detection]
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: received Vendor ID payload [RFC 3947] method set to=115
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] meth=108, but already using method 115
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: ignoring unknown Vendor ID payload [a2226fc364500f5634ff77db3b74f41b]
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: enabling possible NAT-traversal with method RFC 3947 (NAT-Traversal)
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: STATE_MAIN_I2: sent MI2, expecting MR2
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike (MacOS X): no NAT detected
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: STATE_MAIN_I3: sent MI3, expecting MR3
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: next payload type of ISAKMP Hash Payload has an unknown value: 126
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: malformed payload in packet
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: | payload malformed after IV
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: | fa 81 52 07 c4 15 0b 2a fe 7d a8 fe e8 b1 31 e0
Jan 22 15:30:08 NVN-CC-IPCOP pluto[12093]: "NVNVPN01" #2: sending notification PAYLOAD_MALFORMED to 217.224.7.231:500
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 293903
Url: https://administrator.de/forum/ipcop-in-virtualbox-vpn-over-ipsec-to-fritzbox-7490-293903.html
Ausgedruckt am: 14.05.2025 um 05:05 Uhr
5 Kommentare
Neuester Kommentar
Moin,
die Konfigurationsparameter sind auf beiden Seiten abgesehen von den Subnetzen gleich? Was steht im Log der Fritzbox?
Mal nebenbei solltest du dir für deine Firewall eine aktueller Platform (z.B. PfSense)suchen...
Letztes Update vor einem Jahr klingt nicht gerade nach einem aktuellen System, da vorallem im Strongswan und OpenSSL doch immer mal Sicherheitslücken stecken. Achja Pluto ist auch seit ca. 3,5 Jahren nichtmal mehr im Strongswan Code enthalten...
https://www.strongswan.org/blog/2012/06/20/bye-bye-pluto.html
Ist doch vermutlich ein Linux Server oder? Schonmal KVM angeschaut? Oder unter Windows Hyper-V?
VG
Val
die Konfigurationsparameter sind auf beiden Seiten abgesehen von den Subnetzen gleich? Was steht im Log der Fritzbox?
Mal nebenbei solltest du dir für deine Firewall eine aktueller Platform (z.B. PfSense)suchen...
Letztes Update vor einem Jahr klingt nicht gerade nach einem aktuellen System, da vorallem im Strongswan und OpenSSL doch immer mal Sicherheitslücken stecken. Achja Pluto ist auch seit ca. 3,5 Jahren nichtmal mehr im Strongswan Code enthalten...
https://www.strongswan.org/blog/2012/06/20/bye-bye-pluto.html
Rootserver und VirtualBox Host = X.X.X.149
Warum man VirtualBox verwendet werde ich auch nie verstehen, wenn es doch bessere Alternativen gibt...Ist doch vermutlich ein Linux Server oder? Schonmal KVM angeschaut? Oder unter Windows Hyper-V?
VG
Val
Ansonsten findest du grundlegende Infos zum Thema IPsec hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Knackpunkt ist "#2: malformed payload in packet" Damit stirbt deine Phase 1 bei IPsec ! Kann das sein das du ein MTU oder MSS Problem hast ?
Oder kann das sein das du mit einem L2TP Client auf native IPsec gehst oder umgekehrt ?
Das geht natürlich dann in die Hose, klar ! Die FritzBox kann nur native IPsec !
IPCop ist so oder so ein Krampf von der Konfig her. Kopier dir eine pfSense in die VM und mach das damit. Im oben genannten Tutorial findest du eine lauffähige Konfig von pfSense zu FritzBox. Die rennt fehlerlos.
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Knackpunkt ist "#2: malformed payload in packet" Damit stirbt deine Phase 1 bei IPsec ! Kann das sein das du ein MTU oder MSS Problem hast ?
Oder kann das sein das du mit einem L2TP Client auf native IPsec gehst oder umgekehrt ?
Das geht natürlich dann in die Hose, klar ! Die FritzBox kann nur native IPsec !
IPCop ist so oder so ein Krampf von der Konfig her. Kopier dir eine pfSense in die VM und mach das damit. Im oben genannten Tutorial findest du eine lauffähige Konfig von pfSense zu FritzBox. Die rennt fehlerlos.
JA die kosten alle Geld ich will kosten einsparen nur das mit der Komprimierung kann in Zukunft weh tun 
Es gibt ja auch /phpvirtualbox und ich habe noch gute scripts zu matuostart die ich damls geschrieben habe.
Oka ich werde mir PFSense anschauen danke für den Tip
Das gibt wieder Hoffnung
Es gibt ja auch /phpvirtualbox und ich habe noch gute scripts zu matuostart die ich damls geschrieben habe.
Oka ich werde mir PFSense anschauen danke für den Tip
Das gibt wieder Hoffnung JA die kosten alle Geld
Was kostet Geld ?? Ist jetzt unverständlich ...??ich will kosten einsparen nur das mit der Komprimierung kann in Zukunft weh tun
Bahnhof ?? Was sollen uns diese kryptischen Sätze oder Gedanken sagen ????Das gibt wieder Hoffnung
Und funktioniert sogar sicher ! 
VPN Gateways und Firewalls ;)
So pfSense geht ab sofortiger VPN aufbau alles top Danke
Weis jemand Wie man ein AD DC an die pfSense hängt ?
pfSens + TinyDNS Server < ----- Debian + Samba 4 (Host anfragen functionieren nicht)
Error:
/usr/sbin/samba_dnsupdate: Traceback (most recent call last):
/usr/sbin/samba_dnsupdate: File "/usr/sbin/samba_dnsupdate", line 612, in <module>
/usr/sbin/samba_dnsupdate: get_credentials(lp)
/usr/sbin/samba_dnsupdate: File "/usr/sbin/samba_dnsupdate", line 125, in get_credentials
/usr/sbin/samba_dnsupdate: raise e
/usr/sbin/samba_dnsupdate: RuntimeError: kinit for NVN-CC-UBS$@NVN-GROUP.DE failed (Cannot contact any KDC for requested realm)
/usr/sbin/samba_dnsupdate:
Einstellungen:
pfSense:
DNS Forwoarder active (Require domain= on, )
hostoverrides->nvn-cc-ubs nvn-group.de 192.168.3.11
Domäinoverrides _> nvn-group.de 127.0.0.1
TinyDNS Server auch ()
Records =:
NVN-GROUP.DE SOA 192.168.3.11
NVN-GROUP.DE SOA 8.8.8.8
IpAdress = 127.0.0.1
Responseip = 192.168.3
Netwerl = LAN
ZoneTransfers:
192.168.3.11 NVN-CC-UBS
Debian:
NVN-CC-UBS:/home/afrauenstein# cat /etc/hosts
127.0.0.1 localhost
127.0.0.1 NVN-CC-UBS.NVN-GROUP.DE NVN-CC-UBS
127.0.0.1 NVN-GROUP.DE
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
NVN-CC-UBS:/home/afrauenstein# cat /etc/resolv.conf
domain NVN-GROUP.DE
nameserver 192.168.3.1
search NVN-GROUP.DE
NVN-CC-UBS:/home/afrauenstein# host -l NVN-GROUP.DE
Host NVN-GROUP.DE not found: 9(NOTAUTH)
; Transfer failed.
So pfSense geht ab
sofortiger VPN aufbau alles top Danke Weis jemand Wie man ein AD DC an die pfSense hängt ?
pfSens + TinyDNS Server < ----- Debian + Samba 4 (Host anfragen functionieren nicht)
Error:
/usr/sbin/samba_dnsupdate: Traceback (most recent call last):
/usr/sbin/samba_dnsupdate: File "/usr/sbin/samba_dnsupdate", line 612, in <module>
/usr/sbin/samba_dnsupdate: get_credentials(lp)
/usr/sbin/samba_dnsupdate: File "/usr/sbin/samba_dnsupdate", line 125, in get_credentials
/usr/sbin/samba_dnsupdate: raise e
/usr/sbin/samba_dnsupdate: RuntimeError: kinit for NVN-CC-UBS$@NVN-GROUP.DE failed (Cannot contact any KDC for requested realm)
/usr/sbin/samba_dnsupdate:
Einstellungen:
pfSense:
DNS Forwoarder active (Require domain= on, )
hostoverrides->nvn-cc-ubs nvn-group.de 192.168.3.11
Domäinoverrides _> nvn-group.de 127.0.0.1
TinyDNS Server auch ()
Records =:
NVN-GROUP.DE SOA 192.168.3.11
NVN-GROUP.DE SOA 8.8.8.8
IpAdress = 127.0.0.1
Responseip = 192.168.3
Netwerl = LAN
ZoneTransfers:
192.168.3.11 NVN-CC-UBS
Debian:
NVN-CC-UBS:/home/afrauenstein# cat /etc/hosts
127.0.0.1 localhost
127.0.0.1 NVN-CC-UBS.NVN-GROUP.DE NVN-CC-UBS
127.0.0.1 NVN-GROUP.DE
- The following lines are desirable for IPv6 capable hosts
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
NVN-CC-UBS:/home/afrauenstein# cat /etc/resolv.conf
domain NVN-GROUP.DE
nameserver 192.168.3.1
search NVN-GROUP.DE
NVN-CC-UBS:/home/afrauenstein# host -l NVN-GROUP.DE
Host NVN-GROUP.DE not found: 9(NOTAUTH)
; Transfer failed.
