Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN Fritzbox 7390 - Fortigate 110C

Mitglied: Luigihausen

Luigihausen (Level 1) - Jetzt verbinden

18.10.2013, aktualisiert 09:44 Uhr, 7453 Aufrufe, 2 Kommentare

Hat schon einmal jemand eine Fritzbox mit einer Fortigate über VPN Verbunden?
Mit der 7270 und einer Netscreen Firewall hatte ich vor zwei Jahre keine grossen Probleme, aber die 7390 mit der Fortigate 110C will nicht laufen.



>- Fritzbox:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Fortigate";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 195.XXX.XXX.XXX; >- WAN IP Fortigate
remote_virtualip = 0.0.0.0;
localid {
fqdn = "46.XXX.XXX.XXX"; >- WAN IP Fritzbox
}
remoteid {
ipaddr = 195.XXX.XXX.XXX; >- WAN IP Fortigate
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "passwortXXX";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.70.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.50.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs"
accesslist = "permit ip any 192.168.0.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

>- Fortigate:

edit "Fritzbox-P1"
set interface "wan1"
set dhgrp 2
set mode aggressive
set proposal 3des-sha1 3des-md5
set remote-gw 46.XXX.XXX.XXX >- WAN IP Fritzbox
set psksecret ENC qX1tJzyqZtyqsi4XvQHoweDcUy9iuh//DjVPzfmOSsfp6mTaNgM
next

edit "Fritzbox-P2"
set phase1name "Fritzbox-P1"
set proposal 3des-sha1 3des-md5
set keepalive enable
set dhgrp 2
set src-subnet 192.168.50.0 255.255.255.0
set dst-subnet 192.168.70.0 255.255.255.0
next
Mitglied: aqui
18.10.2013 um 12:04 Uhr
Generell zu klappen scheint es wie man hieran sieht:
http://www.ip-phone-forum.de/showthread.php?t=180569
2 Probleme der Konfig:
1.) Besser immer NAT Traversal einschalten, denn man weiss nie ob irgendwo im Pfad NAT gemacht wird
2.) Deine Schlüsselalgotithmen sind unterschiedlich. Viele IPsec Stacks mögen das nicht.
Die FB kann nur ausschliesslich 3DES mit SHA wie man oben sieht. Die MD 5 Option in der Fortigate solltest du also besser entfernen, obwohl MD5 etwas performanter ist.
Also die beiden Parameter mal vollkommen identisch setzen.

Ganz wichtig ist ein Log Auszug (Syslog) einmal der FB und einmal der Fortinet damit man mal genau sehen kann woran es scheitert !!

Grundlagen zu IPsec VPNs findest du noch hier:
https://www.administrator.de/contentid/73117
und
https://www.administrator.de/contentid/115798
Bitte warten ..
Mitglied: Luigihausen
18.10.2013, aktualisiert um 19:12 Uhr
Danke Dir. Es gab noch einen dummen Fehler in der Fortigate Policy, denn die Fritzbox wurde schon vorher abgeblockt.
Es läuft mit der folgenden Fritzbox-config.
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Fortigate";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 195.XXX.XXX.XXX; >- WAN IP Fortigate
remote_virtualip = 0.0.0.0;
localid {
fqdn = 46.XXX.XXX.XXX; >- WAN IP Fritzbox
}
remoteid {
ipaddr = 195.XXX.XXX.XXX; >- WAN IP Fortigate
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "XpasswortX";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.70.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.50.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.50.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Bitte warten ..
Ähnliche Inhalte
Router & Routing

PFsense VPN tunnel zur FritzBox 7390 (IPSec)

gelöst Frage von PotthoffRouter & Routing6 Kommentare

Schönen guten Morgen zusammen, Ich habe einen VPN tunnel zwischen einer FritzBox 7390 und einer Pfsense gebaut. Mein problem ...

Router & Routing

Sophos UTM hinter Fritzbox 7390

gelöst Frage von eegg125Router & Routing4 Kommentare

Hallo Zusammen. Ich habe eben eine Sophos UTM Virtual Appliance auf einem Hyper-V in Betrieb genommen. Aktiv sind die ...

Router & Routing

VPN: Verbindung von FritzBox (7390) über SSL zum Firmennetzwerk (Watchguard)

gelöst Frage von rrobbyyRouter & Routing4 Kommentare

Hallo zusammen, derzeit loggen sich einige Anwender manuell über die Watchguard-VPN-Software mit SSL in unser Netzwerk ein. Dies funktioniert ...

LAN, WAN, Wireless

Ubiquiti Unifi APs an Fritzbox 7390

Frage von TapiraLAN, WAN, Wireless8 Kommentare

Hi ich habe ein Problem, dass mich seit Tagen nicht loslässt. Ich betreibe ein Ubiquiti Unify WLAN an einer ...

Neue Wissensbeiträge
Drucker und Scanner

Kyocera PCL Barcode Flash SD v3.0 Firmware Update installieren

Tipp von Mana vor 1 TagDrucker und Scanner1 Kommentar

Ich hatte eine vorhandene "PCL Barcode Flash SD v3.0 Type D/E", die bisher in einem Kyocera FS-4200DN verbaut war. ...

Sicherheit
0-day Schwachstelle im Internet Explorer
Information von kgborn vor 5 TagenSicherheit3 Kommentare

In Microsofts Internet Explorer gibt es eine 0-day Schwachstelle in der Scripting Engine, die faktisch alle Browser- und Windows-Versionen ...

Internet

Internet-Speedtest Automatisieren via Befehlszeile, cmd, Bash (Windows, Linux, FreeBSD, Mac)

Tipp von anteNope vor 6 TagenInternet6 Kommentare

Also das hier ist irgendwie an mir vorbeigegangen. Einfacher geht es schlicht nicht mehr. Mit "-s 28624 wähle ich ...

Administrator.de Feedback

Entwicklertagebuch: Codeblöcke auf unseren Seiten

Information von admtech vor 6 TagenAdministrator.de Feedback23 Kommentare

Hallo Administrator User, Unsere Codeblöcke werden ab sofort anders dargestellt. In Zukunft kommen neue Typen dazu. Hier ein Beispiel ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
WLAN Abbrüche
Frage von jo23487LAN, WAN, Wireless37 Kommentare

Hallo zusammen, ich habe einen neuen Speedport installiert und seit dem Abbrüche des WLANS. Eigentlich kann das mit dem ...

LAN, WAN, Wireless
Einrichtung Router und Modem
Frage von SommelierLAN, WAN, Wireless20 Kommentare

Guten Abend, sitze hier derzeit ohne Festnetzinternet, da ich einen neuen Router + Kabelmodem habe. Ein Bintec Rs123 und ...

Microsoft Office
Vorinstallierte Office-Versionen loswerden
gelöst Frage von HoyerACMicrosoft Office15 Kommentare

Guten Abend zusammen, habe schon viel gegoogelt, auch hier im Forum (exemlarisch:), aber ich werde nicht abschließend fündig. Grundausstattung ...

Router & Routing
"Fritz!Box3370 mit OpenWRT Interface-Zuordnung"
gelöst Frage von orcapeRouter & Routing14 Kommentare

Hi Leute, ich nutze bei einem remoten Standort einen Linksys-E4200v2, den ich vor Jahren mit OpenWRT 18.06 geflasht hatte, ...