2
VPN Fritzbox 7390 - Fortigate 110C
Hat schon einmal jemand eine Fritzbox mit einer Fortigate über VPN Verbunden?
Mit der 7270 und einer Netscreen Firewall hatte ich vor zwei Jahre keine grossen Probleme, aber die 7390 mit der Fortigate 110C will nicht laufen.
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Fortigate";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 195.XXX.XXX.XXX; >- WAN IP Fortigate
remote_virtualip = 0.0.0.0;
localid {
fqdn = "46.XXX.XXX.XXX"; >- WAN IP Fritzbox
}
remoteid {
ipaddr = 195.XXX.XXX.XXX; >- WAN IP Fortigate
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "passwortXXX";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.70.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.50.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs"
accesslist = "permit ip any 192.168.0.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
edit "Fritzbox-P1"
set interface "wan1"
set dhgrp 2
set mode aggressive
set proposal 3des-sha1 3des-md5
set remote-gw 46.XXX.XXX.XXX >- WAN IP Fritzbox
set psksecret ENC qX1tJzyqZtyqsi4XvQHoweDcUy9iuh//DjVPzfmOSsfp6mTaNgM
next
edit "Fritzbox-P2"
set phase1name "Fritzbox-P1"
set proposal 3des-sha1 3des-md5
set keepalive enable
set dhgrp 2
set src-subnet 192.168.50.0 255.255.255.0
set dst-subnet 192.168.70.0 255.255.255.0
next
Mit der 7270 und einer Netscreen Firewall hatte ich vor zwei Jahre keine grossen Probleme, aber die 7390 mit der Fortigate 110C will nicht laufen.
- Fritzbox:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Fortigate";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 195.XXX.XXX.XXX; >- WAN IP Fortigate
remote_virtualip = 0.0.0.0;
localid {
fqdn = "46.XXX.XXX.XXX"; >- WAN IP Fritzbox
}
remoteid {
ipaddr = 195.XXX.XXX.XXX; >- WAN IP Fortigate
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "passwortXXX";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.70.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.50.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs"
accesslist = "permit ip any 192.168.0.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
- Fortigate:
edit "Fritzbox-P1"
set interface "wan1"
set dhgrp 2
set mode aggressive
set proposal 3des-sha1 3des-md5
set remote-gw 46.XXX.XXX.XXX >- WAN IP Fritzbox
set psksecret ENC qX1tJzyqZtyqsi4XvQHoweDcUy9iuh//DjVPzfmOSsfp6mTaNgM
next
edit "Fritzbox-P2"
set phase1name "Fritzbox-P1"
set proposal 3des-sha1 3des-md5
set keepalive enable
set dhgrp 2
set src-subnet 192.168.50.0 255.255.255.0
set dst-subnet 192.168.70.0 255.255.255.0
next
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 219762
Url: https://administrator.de/contentid/219762
Printed on: April 24, 2024 at 03:04 o'clock
2 Comments
Latest comment
Generell zu klappen scheint es wie man hieran sieht:
http://www.ip-phone-forum.de/showthread.php?t=180569
2 Probleme der Konfig:
1.) Besser immer NAT Traversal einschalten, denn man weiss nie ob irgendwo im Pfad NAT gemacht wird
2.) Deine Schlüsselalgotithmen sind unterschiedlich. Viele IPsec Stacks mögen das nicht.
Die FB kann nur ausschliesslich 3DES mit SHA wie man oben sieht. Die MD 5 Option in der Fortigate solltest du also besser entfernen, obwohl MD5 etwas performanter ist.
Also die beiden Parameter mal vollkommen identisch setzen.
Ganz wichtig ist ein Log Auszug (Syslog) einmal der FB und einmal der Fortinet damit man mal genau sehen kann woran es scheitert !!
Grundlagen zu IPsec VPNs findest du noch hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
und
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
http://www.ip-phone-forum.de/showthread.php?t=180569
2 Probleme der Konfig:
1.) Besser immer NAT Traversal einschalten, denn man weiss nie ob irgendwo im Pfad NAT gemacht wird
2.) Deine Schlüsselalgotithmen sind unterschiedlich. Viele IPsec Stacks mögen das nicht.
Die FB kann nur ausschliesslich 3DES mit SHA wie man oben sieht. Die MD 5 Option in der Fortigate solltest du also besser entfernen, obwohl MD5 etwas performanter ist.
Also die beiden Parameter mal vollkommen identisch setzen.
Ganz wichtig ist ein Log Auszug (Syslog) einmal der FB und einmal der Fortinet damit man mal genau sehen kann woran es scheitert !!
Grundlagen zu IPsec VPNs findest du noch hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
und
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Danke Dir. Es gab noch einen dummen Fehler in der Fortigate Policy, denn die Fritzbox wurde schon vorher abgeblockt.
Es läuft mit der folgenden Fritzbox-config.
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Fortigate";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 195.XXX.XXX.XXX; >- WAN IP Fortigate
remote_virtualip = 0.0.0.0;
localid {
fqdn = 46.XXX.XXX.XXX; >- WAN IP Fritzbox
}
remoteid {
ipaddr = 195.XXX.XXX.XXX; >- WAN IP Fortigate
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "XpasswortX";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.70.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.50.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.50.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Es läuft mit der folgenden Fritzbox-config.
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Fortigate";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 195.XXX.XXX.XXX; >- WAN IP Fortigate
remote_virtualip = 0.0.0.0;
localid {
fqdn = 46.XXX.XXX.XXX; >- WAN IP Fritzbox
}
remoteid {
ipaddr = 195.XXX.XXX.XXX; >- WAN IP Fortigate
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "XpasswortX";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.70.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.50.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.50.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
