luigihausen
Goto Top

VPN Fritzbox 7390 - Fortigate 110C

Hat schon einmal jemand eine Fritzbox mit einer Fortigate über VPN Verbunden?
Mit der 7270 und einer Netscreen Firewall hatte ich vor zwei Jahre keine grossen Probleme, aber die 7390 mit der Fortigate 110C will nicht laufen.


- Fritzbox:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Fortigate";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 195.XXX.XXX.XXX; >- WAN IP Fortigate
remote_virtualip = 0.0.0.0;
localid {
fqdn = "46.XXX.XXX.XXX"; >- WAN IP Fritzbox
}
remoteid {
ipaddr = 195.XXX.XXX.XXX; >- WAN IP Fortigate
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "passwortXXX";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.70.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.50.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs"
accesslist = "permit ip any 192.168.0.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

- Fortigate:

edit "Fritzbox-P1"
set interface "wan1"
set dhgrp 2
set mode aggressive
set proposal 3des-sha1 3des-md5
set remote-gw 46.XXX.XXX.XXX >- WAN IP Fritzbox
set psksecret ENC qX1tJzyqZtyqsi4XvQHoweDcUy9iuh//DjVPzfmOSsfp6mTaNgM
next

edit "Fritzbox-P2"
set phase1name "Fritzbox-P1"
set proposal 3des-sha1 3des-md5
set keepalive enable
set dhgrp 2
set src-subnet 192.168.50.0 255.255.255.0
set dst-subnet 192.168.70.0 255.255.255.0
next

Content-ID: 219762

Url: https://administrator.de/forum/vpn-fritzbox-7390-fortigate-110c-219762.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

aqui
aqui 18.10.2013 um 12:04:45 Uhr
Goto Top
Generell zu klappen scheint es wie man hieran sieht:
http://www.ip-phone-forum.de/showthread.php?t=180569
2 Probleme der Konfig:
1.) Besser immer NAT Traversal einschalten, denn man weiss nie ob irgendwo im Pfad NAT gemacht wird
2.) Deine Schlüsselalgotithmen sind unterschiedlich. Viele IPsec Stacks mögen das nicht.
Die FB kann nur ausschliesslich 3DES mit SHA wie man oben sieht. Die MD 5 Option in der Fortigate solltest du also besser entfernen, obwohl MD5 etwas performanter ist.
Also die beiden Parameter mal vollkommen identisch setzen.

Ganz wichtig ist ein Log Auszug (Syslog) einmal der FB und einmal der Fortinet damit man mal genau sehen kann woran es scheitert !!

Grundlagen zu IPsec VPNs findest du noch hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
und
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Luigihausen
Luigihausen 18.10.2013 aktualisiert um 19:12:35 Uhr
Goto Top
Danke Dir. Es gab noch einen dummen Fehler in der Fortigate Policy, denn die Fritzbox wurde schon vorher abgeblockt.
Es läuft mit der folgenden Fritzbox-config.
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Fortigate";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 195.XXX.XXX.XXX; >- WAN IP Fortigate
remote_virtualip = 0.0.0.0;
localid {
fqdn = 46.XXX.XXX.XXX; >- WAN IP Fritzbox
}
remoteid {
ipaddr = 195.XXX.XXX.XXX; >- WAN IP Fortigate
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "XpasswortX";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.70.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.50.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.50.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}