Site-to-Site VPN mit Cisco RV320 und AVM
Hallo liebe Admins!
ich habe momentan folgendes Szenario:
Drei Standorte sind mit drei Fritzboxen (2x3370, 1x3270) via VPN (Site-to-Site)miteinander verbunden.
Nun habe ich in der Zentrale eine CompanyConnect Leitung der Telekom mit 10MBit bestellt und möchte den internen datenverkehr darüber laufen lassen.
D.h. in der Zentrale bleibt die Fritzbox für den Internetzugang bestehen und die CoCo soll für den internen Verkehr benutzt werden.
An der CoCo ist ein Cisco RV320 Router installiert.
Ich möchte nun den Cisco RV320 mit den beiden Fritzboxen in den anderen Filialen per Site-to-Site mit IPSec verbinden.
Doch irgendwie bekomme ich das nicht hin.
Die Firmware auf allen Routern ist aktuell, sie verfügen alle über feste IP Adressen und die Beispiele und Konfigurationen auf der AVM Seite (Verbinung mit Watchguard, Cisco Pix, Bintec, etc.) haben mir leider nicht weitergeholfen.
Die Fritzbox versucht sich auf den Cisco zu verbinden, bekommt aber eine Fehlermeldung (Timeout).
Im Log File des Cisco Routers sehe ich eine akzeptierte eingehende Verbindung auf UDP Port 500, aber weiter passiert nichts.
Hat von euch vielleicht jemand Erfahrung damit und kann mir den entscheidenden Hinweis geben?
Besten Dank schon mal im Voraus und Grüße
Quirmi
ich habe momentan folgendes Szenario:
Drei Standorte sind mit drei Fritzboxen (2x3370, 1x3270) via VPN (Site-to-Site)miteinander verbunden.
Nun habe ich in der Zentrale eine CompanyConnect Leitung der Telekom mit 10MBit bestellt und möchte den internen datenverkehr darüber laufen lassen.
D.h. in der Zentrale bleibt die Fritzbox für den Internetzugang bestehen und die CoCo soll für den internen Verkehr benutzt werden.
An der CoCo ist ein Cisco RV320 Router installiert.
Ich möchte nun den Cisco RV320 mit den beiden Fritzboxen in den anderen Filialen per Site-to-Site mit IPSec verbinden.
Doch irgendwie bekomme ich das nicht hin.
Die Firmware auf allen Routern ist aktuell, sie verfügen alle über feste IP Adressen und die Beispiele und Konfigurationen auf der AVM Seite (Verbinung mit Watchguard, Cisco Pix, Bintec, etc.) haben mir leider nicht weitergeholfen.
Die Fritzbox versucht sich auf den Cisco zu verbinden, bekommt aber eine Fehlermeldung (Timeout).
Im Log File des Cisco Routers sehe ich eine akzeptierte eingehende Verbindung auf UDP Port 500, aber weiter passiert nichts.
Hat von euch vielleicht jemand Erfahrung damit und kann mir den entscheidenden Hinweis geben?
Besten Dank schon mal im Voraus und Grüße
Quirmi
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 239442
Url: https://administrator.de/contentid/239442
Ausgedruckt am: 13.11.2024 um 00:11 Uhr
8 Kommentare
Neuester Kommentar
Grundlagen zu IPsec VPN Kopplungen mit Hersteller übergreifenden Geräten findest du in diesem Tutorial:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Essentiell wichtig sind hier die Phase 1 und Phase 2 Profiles was Verschlüsselung SHA, MD5 etc. anbetrifft. Die müssen zwingend auf beiden Seiten identisch sein sonst kommt es zum Abbruch.
AVM supportet lediglich AES 256, Hash Algorithm SHA1, DH Keygroup 2. (Die DH Keygroup 2 definiert AVM mit "alt" !!)
Diese Parameter müssen also genau so auch in der RV-320 so festgelegt werden !!
Bei Hersteller übergreifendem IPsec ist es sinnvoll immer den "Agressive" Mode zu verwenden !
Sehr sinnvol wäre es wenn du einen Log oder Syslog Auszug posten könntest der die Meldungen des Verbindungsaufbaus hier zeigt.
Wichtig: Der RV 320 ist KEIN Router mit integriertem Modem !!
Es stellt sich also hier die Frage WIE dieser Router mit seinem WAN Port am Internet hängt ?? Hast du das mit einer Router Kaskade gemacht, sprich also einem vorgeschaltetem Router, dann musst du dort zwingend ein Port Forwarding folgender Ports des vorgeschalteten Routers auf die WAN IP des RV-320 Routers einrichten:
UDP 500
UDP 4500
ESP Protokoll
Passiert das nicht, kann der IPsec Verbindungsversuch die NAT Firewall des vorgelagerten Routers nicht überwinden und eine VPN Verbindung scheitert schon per se ! Das siehst du daran das im Log schon ein sofortiger Abbruch in der Phase 1 passiert !
Ist ein simples reines, passives Modem davor entfällt das natürlich. Kläre also auch bitte diesen technischen Sachverhalt vorher !
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Essentiell wichtig sind hier die Phase 1 und Phase 2 Profiles was Verschlüsselung SHA, MD5 etc. anbetrifft. Die müssen zwingend auf beiden Seiten identisch sein sonst kommt es zum Abbruch.
AVM supportet lediglich AES 256, Hash Algorithm SHA1, DH Keygroup 2. (Die DH Keygroup 2 definiert AVM mit "alt" !!)
Diese Parameter müssen also genau so auch in der RV-320 so festgelegt werden !!
Bei Hersteller übergreifendem IPsec ist es sinnvoll immer den "Agressive" Mode zu verwenden !
Sehr sinnvol wäre es wenn du einen Log oder Syslog Auszug posten könntest der die Meldungen des Verbindungsaufbaus hier zeigt.
Wichtig: Der RV 320 ist KEIN Router mit integriertem Modem !!
Es stellt sich also hier die Frage WIE dieser Router mit seinem WAN Port am Internet hängt ?? Hast du das mit einer Router Kaskade gemacht, sprich also einem vorgeschaltetem Router, dann musst du dort zwingend ein Port Forwarding folgender Ports des vorgeschalteten Routers auf die WAN IP des RV-320 Routers einrichten:
UDP 500
UDP 4500
ESP Protokoll
Passiert das nicht, kann der IPsec Verbindungsversuch die NAT Firewall des vorgelagerten Routers nicht überwinden und eine VPN Verbindung scheitert schon per se ! Das siehst du daran das im Log schon ein sofortiger Abbruch in der Phase 1 passiert !
Ist ein simples reines, passives Modem davor entfällt das natürlich. Kläre also auch bitte diesen technischen Sachverhalt vorher !
Ich habe mit dem Provider gesprochen...der vorgeschaltete Router leitet alle Anfragen an meinen Cisco RV320 weiter.
Das ist natürlich Blödsinn, denn diese Frage kann dir niemals dein Provider beantworten sofern DU diesen vorgeschalteten Router betreust ?! Das richtige Port Forwarding ist dann deine Aufgabe !Es sei denn....
Das ist ein Zwangsrouter vom Provider, dann ist das natürlich anders, denn auf den hast du ja keinen Zugriff um das zu verifizieren und kannst dem Provider dann nur blind vertrauen.
Trotzdem solltest du da mal einen Wireshark reinklemmen und checken ob das stimmt was er sagt !! Da dort of tauch nur Honks an der Hotline sitzen gilt: "Vetrauen ist gut, Kontrolle ist besser" !
Zu dem DS-Lite Thema hat er nix gesagt ???
Gut, da der Thread ja von dir jetzt auf "Gelöst" gesetzt ist gehen wir mal davon aus das es jetzt rennt ??!!