Grundlagen:
http://forum.collax.com/viewtopic.php?f=41&t=6126#p27340 von Bartsi » Mo 27. Sep 2010, 14:38
es ist nun vollbracht. Wieso auch immer waren die Einstellungen in der Fritz!Box nicht Optimal. Nach Nächte langem Testen funktioniert es nun vollständig. Für die Leute die dasselbe bauen möchten hier noch mal die Einstellungen im Detail:
Ganz wichtig!!!!
Ruhe bewahren. Die FritzBox übernimmt nicht sofort die Einstellungen nach dem einspielen der Configdatei!! Man muss 3-5 Minuten warten bevor Sie Reaktion darauf bringt.
CBS/CSG
Eigenes Proposals anlegen mit folgenden Werten:
Name: FritzBox
IKE
– Aggressive Mode = OFF //Die Einstellung gibt’s nicht mehr! Ist immer OFF
– Verschlüsselungsmethode = NUR 3DES
– Hash-Algo. = SHA1
– DH-Gruppen = dh gruppe 2, 1024 bit (modp1024)
– Lifetime = 60 (1 Stunde)
– Perfect Forwarding Secrecy = ON!
ESP
– Kompression = OFF
– Verschlüsselungsmethode = NUR 3DES
– Hash-Algo. = SHA1
– Keylifetime = 60 (1 Stunde)
Link Einstellungen:
– Name = Verbindung zur FritzBox
– Typ = VPN (IPSec/L2TP)
– Verbindungsaufbau = Auf Einwahl warten (FB Baut die Verbindung auf)
– VPN-Gateway = host.dyndns.org
– Eigener Schlüssel = PSK
– Eigene ID = IP Adresse vom CSG/CBS
– Passphrase = MEGASECRETPASSWORT
– ID der Gegenstelle = @host.dyndns.org (das @ ist wichtig!)
Bitte Entsprechend erreichbare Netzwerke anklicken!
– Absenderadresse: Lokale IP vom CSG/CBS
Fritz!Box VPN
Hier poste ich einfach die CFG Datei:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = „VPN zum CSG/CBS“;
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = xx.xx.44.99;
remote_virtualip = 0.0.0.0;
localid {
fqdn = „host.dyndns.org“;
}
remoteid {
ipaddr = xx.xx.44.99;
}
mode = phase1_mode_idp;
phase1ss = „alt/all-no-aes/all“;
keytype = connkeytype_pre_shared;
key = „MEGASECRETPASSWORT“;
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.1.128;
mask = 255.255.255.192;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.1.0;
mask = 255.255.255.192;
}
}
phase2ss = „esp-3des-sha/ah-no/comp-no/pfs“;
accesslist = „permit ip any 192.168.1.0 255.255.255.192“,
„permit ip any 192.168.1.128 255.255.255.192“;
}
ike_forward_rules = „udp 0.0.0.0:500 0.0.0.0:500“,
„udp 0.0.0.0:4500 0.0.0.0:4500“;
}
// EOF
Hierbei ist bitte zu beachten:
– Subnet auf 4 Standorte verteilt /26
– xx.xx.44.99 ist die feste IP Adresse des CSG/CBS natürlich auch dynamisch möglich
Hier kommen noch ein paar Links zur Weiterbildung:
vpncfg fritzbox phase1_mode_idp – Google-Suche
IPSec – Fritzbox – Securepoint Wiki
VPN mit der FritzBox :: network lab
IPSec VPN zwischen Fritz!Box und Linux – computersalatcomputersalat
Anpassung einer VPN-Verbindung von FRITZ!Box zu FRITZ!Box (LAN-LAN) | AVM Deutschland
avm.de/fileadmin/user_upload/DE/Service/VPN/box_box.pdf
[Gelöst] CSG und Fritz!Box 7270 VPN Netz zu Netz – Collax User Forum