quirmi
Goto Top

Site-to-Site VPN mit Cisco RV320 und AVM

Hallo liebe Admins! face-smile

ich habe momentan folgendes Szenario:

Drei Standorte sind mit drei Fritzboxen (2x3370, 1x3270) via VPN (Site-to-Site)miteinander verbunden.

Nun habe ich in der Zentrale eine CompanyConnect Leitung der Telekom mit 10MBit bestellt und möchte den internen datenverkehr darüber laufen lassen.

D.h. in der Zentrale bleibt die Fritzbox für den Internetzugang bestehen und die CoCo soll für den internen Verkehr benutzt werden.
An der CoCo ist ein Cisco RV320 Router installiert.

Ich möchte nun den Cisco RV320 mit den beiden Fritzboxen in den anderen Filialen per Site-to-Site mit IPSec verbinden.

Doch irgendwie bekomme ich das nicht hin.
Die Firmware auf allen Routern ist aktuell, sie verfügen alle über feste IP Adressen und die Beispiele und Konfigurationen auf der AVM Seite (Verbinung mit Watchguard, Cisco Pix, Bintec, etc.) haben mir leider nicht weitergeholfen.

Die Fritzbox versucht sich auf den Cisco zu verbinden, bekommt aber eine Fehlermeldung (Timeout).
Im Log File des Cisco Routers sehe ich eine akzeptierte eingehende Verbindung auf UDP Port 500, aber weiter passiert nichts.

Hat von euch vielleicht jemand Erfahrung damit und kann mir den entscheidenden Hinweis geben?

Besten Dank schon mal im Voraus und Grüße
Quirmi

Content-ID: 239442

Url: https://administrator.de/contentid/239442

Ausgedruckt am: 24.11.2024 um 03:11 Uhr

aqui
Lösung aqui 28.05.2014 aktualisiert um 12:15:27 Uhr
Goto Top
Grundlagen zu IPsec VPN Kopplungen mit Hersteller übergreifenden Geräten findest du in diesem Tutorial:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Essentiell wichtig sind hier die Phase 1 und Phase 2 Profiles was Verschlüsselung SHA, MD5 etc. anbetrifft. Die müssen zwingend auf beiden Seiten identisch sein sonst kommt es zum Abbruch.
AVM supportet lediglich AES 256, Hash Algorithm SHA1, DH Keygroup 2. (Die DH Keygroup 2 definiert AVM mit "alt" !!)
Diese Parameter müssen also genau so auch in der RV-320 so festgelegt werden !!
Bei Hersteller übergreifendem IPsec ist es sinnvoll immer den "Agressive" Mode zu verwenden !
Sehr sinnvol wäre es wenn du einen Log oder Syslog Auszug posten könntest der die Meldungen des Verbindungsaufbaus hier zeigt.
Wichtig: Der RV 320 ist KEIN Router mit integriertem Modem !!
Es stellt sich also hier die Frage WIE dieser Router mit seinem WAN Port am Internet hängt ?? Hast du das mit einer Router Kaskade gemacht, sprich also einem vorgeschaltetem Router, dann musst du dort zwingend ein Port Forwarding folgender Ports des vorgeschalteten Routers auf die WAN IP des RV-320 Routers einrichten:
UDP 500
UDP 4500
ESP Protokoll
Passiert das nicht, kann der IPsec Verbindungsversuch die NAT Firewall des vorgelagerten Routers nicht überwinden und eine VPN Verbindung scheitert schon per se ! Das siehst du daran das im Log schon ein sofortiger Abbruch in der Phase 1 passiert !
Ist ein simples reines, passives Modem davor entfällt das natürlich. Kläre also auch bitte diesen technischen Sachverhalt vorher !
quirmi
quirmi 28.05.2014 um 12:23:59 Uhr
Goto Top
Hallo aqui und vielen Dank für dein schnelles Feedback!

Ich habe mit dem Provider gesprochen...der vorgeschaltete Router leitet alle Anfragen an meinen Cisco RV320 weiter.
Die VPN Konfiguration des Cisco RV320 habe ich jetzt nach deinen Angaben angepasst.

Phase 1 und Phase 2:
DH Group 2
Encryption AES256
Authentication SHA1
Lifetime 3600

Aggressiv Mode True
Keep-Alive True

Anbei die cfg Datei der Fritzbox:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "VPN_NAME";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 217.6.XXX.XXX; feste IP Cisco Zentrale
remote_virtualip = 0.0.0.0;
localid {
ipaddr = 87.139.XXX.XXX;
feste IP FritzBox Filiale 1
}
remoteid {
ipaddr = 217.6.XXX.XXX; feste IP Cisco Zentrale
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "f08XXX";
Key
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.100.0; NETZ Filiale 1
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.2.0;
Nezt Zentrale
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.2.0 255.255.255.0"; //lokale Netz Zentrale
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

Dort liegt bestimmt der Fehler in Bezug auf deinen Kommentar "Die DH Keygroup 2 definiert AVM mit "alt"".

Danke und Grüße
Quirmi
aqui
aqui 28.05.2014 um 16:07:11 Uhr
Goto Top
Ich habe mit dem Provider gesprochen...der vorgeschaltete Router leitet alle Anfragen an meinen Cisco RV320 weiter.
Das ist natürlich Blödsinn, denn diese Frage kann dir niemals dein Provider beantworten sofern DU diesen vorgeschalteten Router betreust ?! Das richtige Port Forwarding ist dann deine Aufgabe !
Es sei denn....
Das ist ein Zwangsrouter vom Provider, dann ist das natürlich anders, denn auf den hast du ja keinen Zugriff um das zu verifizieren und kannst dem Provider dann nur blind vertrauen.
Trotzdem solltest du da mal einen Wireshark reinklemmen und checken ob das stimmt was er sagt !! Da dort of tauch nur Honks an der Hotline sitzen gilt: "Vetrauen ist gut, Kontrolle ist besser" !
Zu dem DS-Lite Thema hat er nix gesagt ???

Gut, da der Thread ja von dir jetzt auf "Gelöst" gesetzt ist gehen wir mal davon aus das es jetzt rennt ??!!
quirmi
quirmi 28.05.2014 um 16:27:04 Uhr
Goto Top
Ja, der Router ist ein Zwangsrouter vom Provider (Standleitung der Telekom).
Nein, gelöst ist das Thema noch nicht...kannst du dir vielleicht mal die Fritzbox Konfig anschauen?

Vielleicht liegt ja dort der Fehler.

Vielen Dank nochmals
Quirmi
aqui
aqui 28.05.2014 aktualisiert um 16:42:11 Uhr
Goto Top
Nein, gelöst ist das Thema noch nicht...
Warum setzt du es dann auf "Gelöst" ??

Hilfreich für alle hier wäre ein detailierter Log Auszug vom Cisco und vom AVM.
quirmi
quirmi 28.05.2014 um 16:41:52 Uhr
Goto Top
kleines verseehen... ;)
aqui
Lösung aqui 28.05.2014, aktualisiert am 28.04.2015 um 13:18:39 Uhr
Goto Top
was du als TO immer wieder rückgängig machen kannst !

Wie gesagt ein detailierter Log Auszug von beiden Seiten beim IPsec Verbindungsaufbau würde uns das Troubleshooten erheblich erleichtern.
quirmi
quirmi 28.04.2015 um 13:27:21 Uhr
Goto Top
Ist zwar schon etwas länger her, aber hier zur Vollständigkeit die Lösung für das VPN zwischen RV320 und Fritzbox.


Konfig Datei Fritz Box:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "CiscoRV320";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 10.10.10.1; (externe IP RV320)
remote_virtualip = 0.0.0.0;
localid {
ipaddr = 10.5.5.1; (externe IP FritzBox)
}
remoteid {
ipaddr = 10.10.10.1; (externe IP RV320)
}
mode = phase1_mode_aggressive;
phase1ss = "alt/aes/sha";
keytype = connkeytype_pre_shared;
key = "sichersPasswort";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.3.0; (internes Netz FritzBox)
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.2.0; (internes Netz RV320)
mask = 255.255.255.0;
}
}
phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
accesslist = "permit ip any 192.168.2.0 255.255.255.0",
"permit icmp any 192.168.2.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF


Beim RV320 Konfiguriert man einen Tunnel mit folgenden Einstellungen:

IPSec Phase 1:

Group 2
AES-256
SHA1
PFS

Phase 2:
Group2
3DES
SHA1

Aggressive Mode


Beste Grüße
Quirmi