4
VPN zwischen Fritzbox 7390 und Netgear FVS336GV2 keine Verbindung
Hallo,
wir haben in unserem Unternehmen einen Hauptstandort mit einem Netgear FVS336GV2 im Einsatz. Mehrere Außenstellen sind über VPN mit gleichem Netgearrouter angebunden. Nun sind zwei Standorte dazugekommen, welche jeweils mit einer Fritzbox 7390 als Router ausgestattet sind.
Wir versuchen nun schon seit Wochen die Fritzboxen über eine Site2Site VPN Verbindung mit dem Netgear zu verbinden. Wir haben schon die verschiedensten Einstellungen durchprobiert und getestet, bekommen aber absolut keine Verbindung zustande. Im Wesentlichen basierten unsere Test auf die Anleitung unter folgendem Link.
Unsere aktuelle Config der Fritzbox ist folgende:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Con7";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "<WAN-IP Netgear>";
localid {
fqdn = "<dyndns Fritzbox>";
}
remoteid {
fqdn = "<WAN-IP Netgear>";
}
mode = phase1_mode_aggressive;
phase1ss = "alt/aes-3des/sha";
keytype = connkeytype_pre_shared;
key = "<PSK>";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 10.140.6.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.6.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Unsere aktuele VPN-Konfiguraiion auf dem Netgear sieht wie folgt aus:
Bei der aktuellen Konfiguration wird im VPN-LOG auf dem Netgear folgender LOG generiert:
2013 Feb 13 15:24:06 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP <WAN IP Fritzbox>-><WAN IP Netgear> _
2013 Feb 13 15:23:36 [FVS336GV2_NOR] [IKE] NAT-Traversal is Enabled_
2013 Feb 13 15:23:35 [FVS336GV2_NOR] [IKE] Beginning Aggressive mode._
2013 Feb 13 15:23:35 [FVS336GV2_NOR] [IKE] Initiating new phase 1 negotiation: <WAN IP Netgear>[500]<=><WAN IP Fritzbox>[500]_
2013 Feb 13 15:23:35 [FVS336GV2_NOR] [IKE] remote configuration for identifier "<DYNDNS-Name Fritzbox>" found_
2013 Feb 13 15:23:35 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_
2013 Feb 13 15:23:24 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP 79.242.180.178->213.209.123.114 _
2013 Feb 13 15:23:12 [FVS336GV2_NOR] [IKE] Phase 1 negotiation failed due to time up for 7<WAN IP Fritzbox>[500]. 5835381fd53301bc:0000000000000000_
2013 Feb 13 15:22:53 [FVS336GV2_NOR] [IKE] remote configuration for identifier "<DYNDNS-Name Fritzbox>" found_
2013 Feb 13 15:22:53 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_
2013 Feb 13 15:22:42 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP <WAN IP Fritzbox>-><WAN IP Netgear> _
2013 Feb 13 15:22:12 [FVS336GV2_NOR] [IKE] Setting DPD Vendor ID_
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] NAT-Traversal is Enabled_
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] Beginning Aggressive mode._
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] Initiating new phase 1 negotiation: <WAN IP Netgear>[500]<=><WAN IP Fritzbox>[500]_
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] remote configuration for identifier "<DYNDNS-Name Fritzbox>" found_
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_
2013 Feb 13 15:21:59 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP 79.242.180.178->213.209.123.114 _
2013 Feb 13 15:21:45 [FVS336GV2_NOR] [IKE] Phase 1 negotiation failed due to time up for <WAN IP Fritzbox>[500]. 4e6b6e4588cdc93b:0000000000000000_
2013 Feb 13 15:21:28 [FVS336GV2_NOR] [IKE] remote configuration for identifier "<DYNDNS-Name Fritzbox>" found_
2013 Feb 13 15:21:28 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_
2013 Feb 13 15:21:16 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP <WAN IP Fritzbox>-><WAN IP Netgear> _
2013 Feb 13 15:20:45 [FVS336GV2_NOR] [IKE] Setting DPD Vendor ID_
2013 Feb 13 15:20:45 [FVS336GV2_NOR] [IKE] NAT-Traversal is Enabled_
2013 Feb 13 15:20:45 [FVS336GV2_NOR] [IKE] Beginning Aggressive mode._
2013 Feb 13 15:20:45 [FVS336GV2_NOR] [IKE] Initiating new phase 1 negotiation: <WAN IP Netgear>[500]<=><WAN IP Fritzbox>[500]_
Wie schon gesagt, wir haben schon viele viele Einstellungen probiert (Verschiedene Verlüsselungsalgorithmen in Phase1 und Phase2 ..., Main Mode -> Aggrissive Mode ..). Aber es scheitert immer wieder am Aufbau der Verbindung.
Wir wären für jede Hilfe sehr sehr Dankbar. Vielen Dank im Voraus.
Gruß Malerius
wir haben in unserem Unternehmen einen Hauptstandort mit einem Netgear FVS336GV2 im Einsatz. Mehrere Außenstellen sind über VPN mit gleichem Netgearrouter angebunden. Nun sind zwei Standorte dazugekommen, welche jeweils mit einer Fritzbox 7390 als Router ausgestattet sind.
Wir versuchen nun schon seit Wochen die Fritzboxen über eine Site2Site VPN Verbindung mit dem Netgear zu verbinden. Wir haben schon die verschiedensten Einstellungen durchprobiert und getestet, bekommen aber absolut keine Verbindung zustande. Im Wesentlichen basierten unsere Test auf die Anleitung unter folgendem Link.
Unsere aktuelle Config der Fritzbox ist folgende:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Con7";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "<WAN-IP Netgear>";
localid {
fqdn = "<dyndns Fritzbox>";
}
remoteid {
fqdn = "<WAN-IP Netgear>";
}
mode = phase1_mode_aggressive;
phase1ss = "alt/aes-3des/sha";
keytype = connkeytype_pre_shared;
key = "<PSK>";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 10.140.6.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.6.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Unsere aktuele VPN-Konfiguraiion auf dem Netgear sieht wie folgt aus:
Bei der aktuellen Konfiguration wird im VPN-LOG auf dem Netgear folgender LOG generiert:
2013 Feb 13 15:24:06 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP <WAN IP Fritzbox>-><WAN IP Netgear> _
2013 Feb 13 15:23:36 [FVS336GV2_NOR] [IKE] NAT-Traversal is Enabled_
2013 Feb 13 15:23:35 [FVS336GV2_NOR] [IKE] Beginning Aggressive mode._
2013 Feb 13 15:23:35 [FVS336GV2_NOR] [IKE] Initiating new phase 1 negotiation: <WAN IP Netgear>[500]<=><WAN IP Fritzbox>[500]_
2013 Feb 13 15:23:35 [FVS336GV2_NOR] [IKE] remote configuration for identifier "<DYNDNS-Name Fritzbox>" found_
2013 Feb 13 15:23:35 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_
2013 Feb 13 15:23:24 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP 79.242.180.178->213.209.123.114 _
2013 Feb 13 15:23:12 [FVS336GV2_NOR] [IKE] Phase 1 negotiation failed due to time up for 7<WAN IP Fritzbox>[500]. 5835381fd53301bc:0000000000000000_
2013 Feb 13 15:22:53 [FVS336GV2_NOR] [IKE] remote configuration for identifier "<DYNDNS-Name Fritzbox>" found_
2013 Feb 13 15:22:53 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_
2013 Feb 13 15:22:42 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP <WAN IP Fritzbox>-><WAN IP Netgear> _
2013 Feb 13 15:22:12 [FVS336GV2_NOR] [IKE] Setting DPD Vendor ID_
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] NAT-Traversal is Enabled_
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] Beginning Aggressive mode._
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] Initiating new phase 1 negotiation: <WAN IP Netgear>[500]<=><WAN IP Fritzbox>[500]_
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] remote configuration for identifier "<DYNDNS-Name Fritzbox>" found_
2013 Feb 13 15:22:11 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_
2013 Feb 13 15:21:59 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP 79.242.180.178->213.209.123.114 _
2013 Feb 13 15:21:45 [FVS336GV2_NOR] [IKE] Phase 1 negotiation failed due to time up for <WAN IP Fritzbox>[500]. 4e6b6e4588cdc93b:0000000000000000_
2013 Feb 13 15:21:28 [FVS336GV2_NOR] [IKE] remote configuration for identifier "<DYNDNS-Name Fritzbox>" found_
2013 Feb 13 15:21:28 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_
2013 Feb 13 15:21:16 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP <WAN IP Fritzbox>-><WAN IP Netgear> _
2013 Feb 13 15:20:45 [FVS336GV2_NOR] [IKE] Setting DPD Vendor ID_
2013 Feb 13 15:20:45 [FVS336GV2_NOR] [IKE] NAT-Traversal is Enabled_
2013 Feb 13 15:20:45 [FVS336GV2_NOR] [IKE] Beginning Aggressive mode._
2013 Feb 13 15:20:45 [FVS336GV2_NOR] [IKE] Initiating new phase 1 negotiation: <WAN IP Netgear>[500]<=><WAN IP Fritzbox>[500]_
Wie schon gesagt, wir haben schon viele viele Einstellungen probiert (Verschiedene Verlüsselungsalgorithmen in Phase1 und Phase2 ..., Main Mode -> Aggrissive Mode ..). Aber es scheitert immer wieder am Aufbau der Verbindung.
Wir wären für jede Hilfe sehr sehr Dankbar. Vielen Dank im Voraus.
Gruß Malerius
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 202332
Url: https://administrator.de/forum/vpn-zwischen-fritzbox-7390-und-netgear-fvs336gv2-keine-verbindung-202332.html
Ausgedruckt am: 24.04.2025 um 00:04 Uhr
4 Kommentare
Neuester Kommentar
Hi Malerius,
die Einstellungen deiner FB-Config könntest du mal anpassen.
Das FVS-Netz hat eine feste öffentliche IP und das FB-Netz eine dynamische, ja?
In deiner Konfiguration ist keine Remote IP (WAN-IP des FVS) eingetragen:
Anstelle dieser Einstellungen:
phase1ss = "all/all/all
phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs"
PS: Ich habe/hatte diverse VPNs zwischen FVS336G und Fritzboxen (7170/7270) laufen. Diese sind sehr stabil. Die FB-Netze haben dynamische IPs, die FVS-Netze zumeist feste öffentliche.
Edit: Ich habe die SA-Lifetime in der IKE- und der VPN-Policy auf dem Netgear auf 3600 sec gestellt.
die Einstellungen deiner FB-Config könntest du mal anpassen.
Das FVS-Netz hat eine feste öffentliche IP und das FB-Netz eine dynamische, ja?
In deiner Konfiguration ist keine Remote IP (WAN-IP des FVS) eingetragen:
remoteip = 0.0.0.0;
Anstelle dieser Einstellungen:
phase1ss = "alt/aes-3des/sha"
Teste bitte:phase1ss = "all/all/all
phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
Teste mal diese:phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs"
PS: Ich habe/hatte diverse VPNs zwischen FVS336G und Fritzboxen (7170/7270) laufen. Diese sind sehr stabil. Die FB-Netze haben dynamische IPs, die FVS-Netze zumeist feste öffentliche.
Edit: Ich habe die SA-Lifetime in der IKE- und der VPN-Policy auf dem Netgear auf 3600 sec gestellt.
Hallo Goscho,
erst einmal vielen Dank für die schnelle Antwort / Hilfe. Wir haben die Config entsprechend angepasst. Bei der Internetverbinudng des Netgears handelt es sich um eine statische öffentliche Adresse ja. Aktuell sieht sie so aus:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Con7";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = <WAN-IP Netgear>;
remote_virtualip = 0.0.0.0;
localid {
fqdn = "<DYNDNS Fritzbox>";
}
remoteid {
ipaddr = <WAN-IP Netgear>;
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "PSK";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 10.140.6.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.6.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.6.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Die Lifetime haben wir beim Netgear in der IKE-Policy auch angepast.
Leider funktioniert der Verbindungsaufbau immer noch nicht.
Aktuell wird im VPNLog des Netgears folgendes gezeigt:
2013 Feb 25 15:02:49 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP <WANIP Fritzbox>-><WANIP Netgear> _
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] Sending Informational Exchange: notify payload[INVALID-HASH-INFORMATION]_
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] HASH mismatched_
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] DPD is Enabled_
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] Received Vendor ID: DPD_
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] Received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] Setting DPD Vendor ID_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] NAT-Traversal is Enabled_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] Beginning Aggressive mode._
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] Initiating new phase 1 negotiation: <WANIP Netgear>[500]<=><WANIP Fritzbox>[500]_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] remote configuration for identifier "DYNDNS Fritzbox" found_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_
Vielen Dank im Voraus.
Gruß Malerius
erst einmal vielen Dank für die schnelle Antwort / Hilfe. Wir haben die Config entsprechend angepasst. Bei der Internetverbinudng des Netgears handelt es sich um eine statische öffentliche Adresse ja. Aktuell sieht sie so aus:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Con7";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = <WAN-IP Netgear>;
remote_virtualip = 0.0.0.0;
localid {
fqdn = "<DYNDNS Fritzbox>";
}
remoteid {
ipaddr = <WAN-IP Netgear>;
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "PSK";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 10.140.6.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.6.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.6.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Die Lifetime haben wir beim Netgear in der IKE-Policy auch angepast.
Leider funktioniert der Verbindungsaufbau immer noch nicht.
Aktuell wird im VPNLog des Netgears folgendes gezeigt:
2013 Feb 25 15:02:49 [FVS336GV2_NOR] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP <WANIP Fritzbox>-><WANIP Netgear> _
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] Sending Informational Exchange: notify payload[INVALID-HASH-INFORMATION]_
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] HASH mismatched_
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] DPD is Enabled_
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] Received Vendor ID: DPD_
2013 Feb 25 15:00:49 [FVS336GV2_NOR] [IKE] Received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] Setting DPD Vendor ID_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] NAT-Traversal is Enabled_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] Beginning Aggressive mode._
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] Initiating new phase 1 negotiation: <WANIP Netgear>[500]<=><WANIP Fritzbox>[500]_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] remote configuration for identifier "DYNDNS Fritzbox" found_
2013 Feb 25 15:00:48 [FVS336GV2_NOR] [IKE] Using IPsec SA configuration: 192.168.6.0/24<->10.140.6.0/24_
Vielen Dank im Voraus.
Gruß Malerius
Hi
phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs"
An den Netgear Policies hast du außer der SA-Lifetime nichts verändert?
use_nat_t = yes;
mal auf "no" stellen -> Wieso muss dort genattet werden?phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs"
bitte zumindest testweise auf folgendes stellen:phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs"
An den Netgear Policies hast du außer der SA-Lifetime nichts verändert?
Guten Morgen Goscho,
vielen Dank noch einmal für die Antwort. Wir kamen erst heute Morgen wieder dazu die Einstellungen zu testen. Dank deiner Tips funktioniert die Verbindung nun
Allerdings ging es nicht sofort. Der Trick war zum Schluss noch den PSK auf ein weniger komplexen Schlüssel zu ändern. Danach konnte die Verbindung erfolgreich aufgebaut werden.
Vielen vielen Dank für die schnelle und kompetente Hilfe.
Gruß Malerius
vielen Dank noch einmal für die Antwort. Wir kamen erst heute Morgen wieder dazu die Einstellungen zu testen. Dank deiner Tips funktioniert die Verbindung nun
Allerdings ging es nicht sofort. Der Trick war zum Schluss noch den PSK auf ein weniger komplexen Schlüssel zu ändern. Danach konnte die Verbindung erfolgreich aufgebaut werden.
Vielen vielen Dank für die schnelle und kompetente Hilfe.
Gruß Malerius
