Beiträge von Meisen

  • Verbindung Endian <--> Fritz!Box mit DynDNS

    In meiner Originaldatei sieht der entsprechende Abschnitt so aus:

    Code
    leftsubnet=$colon.join($conn.local_subnet)
#end if
#if $conn.local_sourceip and $conn.connection_type == 'net'
leftsourceip=$colon.join($conn.local_sourceip)
#end if
right=$conn.remote_address


    Dafür findet sich dort kein Eintrag mit modeconfig=push.

  • VPN-Tunnel

    Naja, so ganz einfach war's dann nach meinem letzten Post doch nicht. War eher ein Zufallstreffer.
    Seitdem ich aber zwei Parameter aus der ipsec.conf, bzw. ipsec.conf.tmpl genommen habe läuft's top zuverlässig und stabil.

  • Aktive VPN Verbindungen

    Zitat von &quot;volkerefw&quot;

    Unter 2.5 bekam ich ne vpn-verbindung problemlos hin. eine seite 3.0, andere seite 2.5 lief auch noch.
    beide Seiten 3.0 lief einige Minuten, seitdem kein Zugriff aufs fremde Netz mehr, obwohl Tunnel als aufgebaut angezeigt wird.

    Meinst Du jetzt OpenVPN oder IPSec?

    Ich habe beide Varianten mehrfach dauerhaft stabil am Laufen.

  • IPSEC VPN EFW mit FRITZBOX

    Ja, ich benutze die efw 3.0.0 Community, seit diese released wurde. Vorher hatte ich die 2.5.1 im Einsatz. Ping Delay und Timeout habe ich nicht verändert. Allerdings habe ich aus der ipsec.conf noch die Parameter lextnexthop (welcher bei strongswan 5.1.1 sowieso überholt ist) und leftsourceip entfernt, da ich mit einer anderen Gegenstelle zuvor Verbindungsprobleme hatte. Die FB lief aber auch mit der Default-Konfiguration.
    Vielleicht liegt bei Dir der Hund in der Virtualisierung begraben. Die efw würde ich ohnehin auf einem dedizierten Server laufen lassen.

  • IPSEC VPN EFW mit FRITZBOX

    Ich habe seit Jahren eine FB einer Filiale auf die efw der Zentrale mit dieser Konfiguration stabil und dauerhaft angebunden. Die FB hat dabei auch eine dynamische IP, die von Zeit zu Zeit aktualisiert wird.
    Die efw muss nicht zwangsläufig Auslöser der Verbindung sein, sondern kann auch Antwortender sein (Initiator oder Responder). Die Trennung geht ja von der FB aus, weshalb die efw wie geschrieben wartet, bis wieder eine Verbindungsanforderung kommt.
    Wieviele DPD-Einträge hast Du denn in der IPSec.conf entfernt? Eigentlich gibt es nur einen pro angelegter Verbindung. Um diese Änderung dauerhaft zu speichern, muss übrigens auch die Vorlage, sprich die ipsec.conf.tmpl entsprechend bearbeitet werden, sonst ist nach einem Neustart wieder alles beim Alten. Ich würde allerdings empfehlen, eine Sicherungskopie dieser Datei zu machen, bevor Du sie editierst, sonst läuft u.U. gar nichts mehr.
    Den DPD-Eintrag habe ich bei meiner Verbindung zur FB drin gelassen, auch wenn diese nicht damit umgehen kann. Ausser regelmässigen Einträgen im Log stört das eigentlich nicht weiter.

  • IPSEC VPN EFW mit FRITZBOX

    Du kannst in der ipsec.conf auf der efw für Deine Verbindung die Zeile mit dpdaction=restart löschen. Aber ob das was bringt wage ich zu bezweifeln.
    Die Fritzboxen beherrschen in der Tat kein vernünftiges DPD - zumindest kann die efw mit den gesendeten Hashes nix anfangen, dennoch sollte die Verbindung automatisch wieder aufgebaut werden, nachdem die neue IP-Adresse per DNS aufgelöst werden kann, denn die efw wartet geduldig auf einen Verbindungsversuch und die Fritzbox löst diesen auch aus, wenn die Verbindung getrennt wurde.

  • IPSEC VPN EFW mit FRITZBOX

    Dass der Status von VPN (IPsec) auf "Gestoppt" steht ist nur ein kosmetischer Fehler, der dem Umstieg von Pluto auf Charon geschuldet ist. Würde IPsec nicht laufen, bekämst Du andere Fehlermeldungen.
    Ohne jetzt im Detail auf Deine Konfiguration einzugehen, hier die Variante, wie es funktionieren muss.

    Fritzbox.cfg

    /*
    */

    vpncfg {
    connections {
    enabled = yes;
    conn_type = conntype_lan;
    name = "Endian";
    always_renew = no;
    reject_not_encrypted = no;
    dont_filter_netbios = yes;
    localip = 0.0.0.0;
    local_virtualip = 0.0.0.0;
    remoteip = <öffentliche-ip-der-endian>;
    remote_virtualip = 0.0.0.0;
    localid {
    fqdn = "fritzbox";
    }
    remoteid {
    fqdn = "endian";
    }
    mode = phase1_mode_idp;
    phase1ss = "alt/aes-3des/sha";
    keytype = connkeytype_pre_shared;
    key = "lustiger-key";
    cert_do_server_auth = no;
    use_nat_t = no;
    use_xauth = no;
    use_cfgmode = no;
    phase2localid {
    ipnet {
    ipaddr = 192.168.3.0;
    mask = 255.255.255.0;
    }
    }
    phase2remoteid {
    ipnet {
    ipaddr = 192.168.105.0;
    mask = 255.255.255.0;
    }
    }
    phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
    accesslist = "permit ip any 192.168.105.0 255.255.255.0";
    }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
    "udp 0.0.0.0:4500 0.0.0.0:4500";
    }


    // EOF

    Und hier die Einstellungen auf Endian-Seite:

  • Zertifikat

    Ganz ohne Zertifikat wird's nicht gehen, aber das wird ja automatisch von der EFW erzeugt und muss nur runtergeladen werden.
    Dann brauchst Du nur noch ein Programm, das entsprechend konfiguriert werden muss.

    Ich nutze dazu OpenVPN, das es unter http://opevpn.net zum kostenlosen Download gibt. Für den Mac gibt es Tunnelblick. Beide funktionieren tadellos mit Endian.

    Abschliessend musst Du das Programm entsprechend einrichten. Eine Konfiguration sieht beispielsweise so aus:

    client
    dev tap
    proto udp
    port 1194
    remote <domain> 1194 <-- hier musst Du Deine Domain eintragen
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    ca <zertifikat.pem> <-- hier musst der Verweis auf Dein Zertifikat stehen
    auth-user-pass
    comp-lzo
    verb 3

    Wenn Du die Verbindung startest, wirst Du nach Name und Kennwort gefragt, die Du zuvor bei "Authentifizierung" in der EFW angelegt hast.

    Viel Erfolg!

    Meisen