VPN pomiędzy Fritz!Box'em 7270 , a RGW VDSL2 G (DGT 7466-VDSL2 G)

Question

Czy ktoś z Szanownych Kolegów zestawiał VPN pomiędzy Fritzboxem 7270, a neostradowym DGT RGW VDSL2 G ? sytuacja: Fritzbox podłączony do kablówki (stałe IP) DGT - neostrada VDSL2 wzbogacona o dyndns (działa prawidłowo - uaktualnia IP po każdej zmianie) ustawienia ipsec na DGT tryb tunelowania ESP...

freetz_master · Answer

Zakładam, że plik konfiguracyjny dla Fritza utworzyłeś narzędziem od AVM.
Poproszę o wklejenie 1:1 (oczywiście bez haseł i adresów domen).

Acha, i zrób screeny z konfiguracji IPSEC, bo ta instrukcja jest taka, że sie chce płakać.

vito007 · Answer

Kod: text Rozwiń Zaznacz wszystko Kopiuj do schowka/*  * C:\Documents and Settings\85_xxx_5_132\fritzbox_85_xxx_5_132.cfg  * Sun Oct 07 00:57:16 2012  */ vpncfg {         connections {                 enabled = yes;                 conn_type = conntype_lan;                 name = xxx.dyndns.tv;                 always_renew = no;                 reject_not_encrypted = no;                 dont_filter_netbios = yes;                 localip = 0.0.0.0;                 local_virtualip = 0.0.0.0;                 remoteip = 0.0.0.0;                 remote_virtualip = 0.0.0.0;                 remotehostname = xxx.dyndns.tv;                 localid {                         ipaddr = 85.xxx.5.132;                 }                 remoteid {                         fqdn = xxx.dyndns.tv;                 }                 mode = phase1_mode_aggressive;                 phase1ss = all/all/all;                 keytype = connkeytype_pre_shared;                 key = xxxxxxxxxx;                 cert_do_server_auth = no;                 use_nat_t = no;                 use_xauth = no;                 use_cfgmode = no;                 phase2localid {                         ipnet {                                 ipaddr = 192.168.41.0;                                 mask = 255.255.255.0;                         }                 }                 phase2remoteid {                         ipnet {                                 ipaddr = 192.168.43.0;                                 mask = 255.255.255.0;                         }                 }                 phase2ss = esp-all-all/ah-all/comp-all/pfs;                 accesslist = permit ip any 192.168.43.0 255.255.255.0;         }         ike_forward_rules = udp 0.0.0.0:500 0.0.0.0:500,                              udp 0.0.0.0:4500 0.0.0.0:4500; } // EOF

freetz_master · Answer

A obrazki z tego drugiego? Jakie informacje znajduj a sie w książce zdarzeń fritza odnośnie vpn?

vito007 · Answer

a w logu fritza

09.10.12 22:39:04 VPN error: xxx.dyndns.tv, IKE-Error 0x2027
09.10.12 22:35:43 VPN error: xxx.dyndns.tv, IKE-Error 0x2027
09.10.12 22:35:01 VPN error: xxx.dyndns.tv, IKE-Error 0x2027
09.10.12 22:14:38 Internet connection established successfully. IP address: 85.xxx.5.132, DNS server: 62.179.1.62 and 62.179.1.63, Gateway: 85.xxx.7.254.

aha jest ping z dgt do fritza, w drugą stronę nie ma, ale chyba DGT nie odpowiada w ogóle na pingi.

freetz_master · Answer

Wygląda na to, że DGT nie jest widoczne po dyndns (IKE-Error 0x2027 ). DGT się zgłosiło w serwisie dyndns?

vito007 · Answer

w odpowiedzi na ping xxx.dyndns.tv dostaję adres IP , jednak odpowiedzi na ping brak. Jak to sprawdzić dokładniej?

freetz_master · Answer

pytanie tylko, który IP? Aktualny? Zobacz na stronie dyndns czy jest własciwe IP hosta (DGT)

vito007 · Answer

Host Services
Hostname Service Info
xxx.dyndns.tv Host 83.6.179.54

jutro sprawdzę to dokładnie. (teraz jestem przy fritzu)
Może rzeczywiście nie uaktualnia wpisu w DYNDNS, ale wcześniej robił to dobrze...

freetz_master · Answer

OK. Sprawdź. Jak będziesz potrzebował porządny sprzęt zamiast tego DGT to mam Fritz!Box 7570 VDSL w dobrej cenie z roczną gwarancją

vito007 · Answer

No więc DYNDNS działa prawidłowo (daje prawidłowe ip routera DGT)

I fragment z logu DGT

racoon: INFO: IPsec-SA request for 85.xxx.5.132 queued due to no phase1 found.
racoon: INFO: initiate new phase 1 negotiation: 83.xxx.179.54[500]<=>85.xxx.5.132[500]
racoon: INFO: begin Aggressive mode.
daemon info racoon: ERROR: reject the packet, received unexpecting payload type 0.
daemon info racoon: ERROR: reject the packet, received unexpecting payload type 0.
daemon info racoon: ERROR: reject the packet, received unexpecting payload type 0.
daemon info racoon: ERROR: reject the packet, received unexpecting payload type 0.
racoon: ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 85.xxx.5.132[500]->83.xxx.179.54[500]
racoon: INFO: delete phase 2 handler.

i tak w kółko....

freetz_master · Answer

Fritz sie nie zglasza. Przyczyna: firewall, ip albo konfiguracja IKE, i tutaj widze ustawienia tryb ESP na DGT. Jakie inne tryby tunelowania widac po rozwinieciu opcji na DGT? EDYCJA: Ha! tu jest chyba rozwiazanie problemu Niestety NIE: tu chodzi o serwer IPsec ZA Fritzem... Moglbys wymienic wszystkie opcje w tych rozwijalnych menu i zrobic screeny? wiem, troche roboty, ale moze innym sie przyda i nie ma nigdzie w sieci dokumentacji tego urzadzenia - porazka.

vito007 · Answer

Oj niemiecka język - trudna język...

konfiguracja ipsec w DGT - możliwe opcje:

tryb połączenia IPSEC ESP/AH
metoda wymiany kluczy Auto(IKE)/MANUAL
metoda uwierzytelniania Pre-Shared Key/Manual
perfect forward secrecy Enable/Disable
Faza1
tryb Main/Aggresive
alg.szyfrowania DES/3DES/AES-128/AES-192/AES-256
alg.integralności MD5/SHA1
D-F group 768/1024/2048/3071/4096/6144/8192
czas życia klucza ...........

Faza2
alg.szyfrowania DES/3DES/AES-128/AES-192/AES-256
alg.integralności MD5/SHA1
D-F group 768/1024/2048/3071/4096/6144/8192
czas życia klucza .............

freetz_master · Answer

port 500UDP jest na fritzu przekierowany na niego samego.


ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",

Gdzieniegdzie pisza, ze na kiepskich modemach trzeba samemu otworzyc port 500 UDP


racoon: INFO: initiate new phase 1 negotiation: 83.xxx.179.54[500]<=>85.222.5.132[500]

Czy port 500UDP jest przekierowany przez DGT na niego samego? Czy mozna to jakos sprawdzic? Sprobuj z reki zrobic przekierowanie na niego samego.

vito007 · Answer

Czy o to chodziło? ale nadal bez zmian.

freetz_master · Answer

Moment. Nie NAT. Przekierowanie na niego samego. Ale zapewne jest jak we Fritzu, ze przy aktyweacji IPsec port jest otwierany.

Hm, a co z dostepnoscia z zewnatrz do DTG, jezeli ping nie idzie (dlaczego?) to moze traceroute po adresie dyndns.

Wyglada na to, ze one jakims cudem sie nie widza.
A czy widza sie na przemian z zewnatrz po https?
Na fritza mozna logowac sie z zewnatrz po https://<ip>:443 , na DGT chyba tez. Widza sie nawzajem?

Ewentualnie jeszcze taki myk, aby wykluczyc dyndns: na czas testu wpisac do konfigu Fritza statyczne IP urzadzenia DGT i zamportowac.
czyli zamiast


                remoteid { 
                        fqdn = "xxx.dyndns.tv";

to


                remoteid { 
                        ipaddr = 1.234.567.8;

vito007 · Answer

na fritza mogę się zalogować z zewnątrz, na DGT nie. Jest co prawda użytkownik SUPPORT, który powinien do tego służyć, ale nie wiem jak go wykorzystać.

W dokumentacji nic nie ma na ten temat.
Może trzeba użyć innego portu?

Ping z zewnątrz do DGT nie dochodzi.

freetz_master · Answer

z DGT Ci niewiele pomogę, też przeczytałem tylko instrukcję i nie mam tego ustrojstwa.. Wygląda na to, że WSZYSTKO z zewnątrz odrzuca.

vito007 · Answer

przetestowałem różne ustawienia DGT, ale w dalszym ciągu nie nawiązuje mi komunikacji przez VPN.
Z logu wynika, że nie przechodzi przez fazę1 nawiązywania łączności.

ustawienia DGT

AUTO/IKE
Pre-Shared Key
PFS Enable
Faza1
Aggresive
AES128
SHA-1
D-FG 1024
Faza2
AES128
SHA-1

próbowałem jeszcze zmienić we fritzu

phase1ss = "allt/aes/sha"

Link

nadal brak sukcesów.

DGT odpowiada na ping z zewnątrz.

edit 13:46

wykasowałem vpn z fritza i log w DGT wygląda dokładnie tak samo.

edit 15:20

Po zmianie w konfigu fritza
remoteid .........
z fqdn = "xxxxxx"
na ipaddr = xxx.xxx.xxx.xxx

połączenie się zastawiło!

ale pingi do sieci zdalnej nie działają

Jak ustawić aby dyndns przechodził do ustawień VPN fritza???

tak więc podsumowując:

połączenie VPN zestawia się, gdy wpiszę do konfigu bezpośrednio adres IP;
nie potrafię użyć tutaj DYNDNS'a ;
pomimo zestawionego teoretycznie połączenia VPN (logi OK) nie działają pingi do sieci zdalnej.

vito007 · Answer

udaje się zestawić połączenie VPN TYLKO gdy wpiszę do konfigu Fritza aktualny adres IP drugiego routera. Nie da się tego osiągnąć wpisując fqdn = "xxx.dyndns.org".
Wydaje się, że Fritz nie potrafi odczytać IP na podstawie podanego fqdn.
sam DynDns działa prawidłowo - dobrze podaje aktualny adres.

Jeśli zestawię VPN podając IP routera DGT, działają pingi z sieci Fritza do sieci lokalnej DGT, ale nie widać udostępnionych zasobów.

W drugą stronę - z sieci lokalnej DGT do sieci lokalnej Fritza - pingi nie działają.

freetz_master · Answer

No to jestes krok dalej. Jaka wersja firmware fritza? Masz 7270v2 czy v3?

vito007 · Answer

V3
firmware zaktualizowany

Bardzo dziwne!

zmieniło się IP dla DGT no i VPN padło - normalne.
Sprawdziłem nowe IP - działa, odpowiada na ping.
Będąc w sieci z Fritzem, wpisuję to IP do konfigu fritza.
Połączenia VPN NIE ZESTAWIA. (to było wczoraj wieczorem)
Dziś rano sytuacja bez zmian.
Jadę w południe do sieci z DGT i loguję się zdalnie (przez https) do fritza; w tym momencie VPN się zestawia.

odpowiedzi na ping z sieci DGT do Fritza nie ma nadal.
nie daje się nadal wykorzystać fqdn = "xxx.dyndns.org"; co bym tu nie wpisał to i tak fritz nie widzi.....

chyba się poddam i wyrzucę fritza przez okno. Dzieją się rzeczy niewytłumaczalne...

ten sam konfig do fritza wgrywany zdalnie (z sieci DGT) - nawiązuje połączenie VPN;
ten sam konfig wgrany z sieci lokalnej (fritza) - VPN nie łączy się !

vito007 · Answer

no i nadal ani pół kroku do przodu PLEASE HELP!

freetz_master · Answer

Sorry, nikt Ci niestety nie pomoże. Kup FB 7570 i po 5 minutach skonfigurowane.

vito007 · Answer

obawiam się że mogą być problemy z konfiguracją VPN z DynDNS.org we fritzu.
Wygląda jakby nie umiał tego zinterpretować...?

ile kosztuje ten 7570?
czytałem, że z FB bywają kłopoty przy VDSL'u, boję się, że jak zestawię VPN, będę miał kłopoty z prędkością NEO......

vito007 · Answer

w dalszym ciągu Fritz nie potrafi skorzystać z działającego Dyndns'a.
Chyba, że robię jakiś czeski błąd?

z logu Fritza

21.10.12 22:40:59 VPN error: vito007, IKE-Error 0x202c
21.10.12 22:40:53 VPN error: vito007, IKE-Error 0x202c
21.10.12 22:40:50 VPN error: vito007, IKE-Error 0x202c
21.10.12 22:40:38 VPN error: vito007, IKE-Error 0x202c
21.10.12 22:40:32 VPN error: vito007, IKE-Error 0x202c
21.10.12 22:40:31 VPN error: vito007, IKE-Error 0x202c
21.10.12 22:40:29 VPN error: vito007, IKE-Error 0x202c

a wpis w vpn.cfg jest taki

....
fqdn = "1234567890.dyndns.org";
.....

a jeśli jest zamiast tego

.....
ipaddr = 123.123.123.123;

to łyka ten adres

freetz_master · Answer


IKE-Error 0x202C	"dns: host/domain not found"

Jaki masz serwer dns na fritzu skonfigurowany?

Jaka masz predkosc neo teraz? Fritze VDSL maja problemy ale z predkosciami adsl i adsl+.
W jednym watku pisal tutaj ktos, ze jak podlaczyl pozyczonego fritza 7390 to szlo jak marzenie. 7570 nadaja sie praktycznie do 60 Mbit/s powyzej tego moga byc problemy.

vito007 · Answer

Najpierw DNS'y były pobierane automatycznie przez router,
później wpisałem na stałe (nie było żadnej różnicy)

DNS servers used 62.179.1.62 currently used for standard queries
62.179.1.63

na DGT jest neostrada 40MB

freetz_master · Answer

No to 7570 bylby idealny.

vito007 · Answer

No i zgodnie z sugestią Kolegi Freetz_master zdobyłem drugiego fritza (7390) i uruchomiłem go na neostradzie VDSL2. Następnie programem Configure FRITZ!Box VPN Connection wygenerowałem dwa zbiory konfiguracyjne VPN dla dwóch Fritzów i wgrałem je do odpowiednich routerów. No i d..a - w dalszym ciągu brak połączenia VPN. Dyndns dla neostrady działa prawidłowo - ping xxx.dyndns.org daje adres IP taki sam jak w konfigu Fritza 7390. Czy komuś udało się zastawić połączenie VPN pomiędzy dwoma FritzBox'ami??? Podsumowując: 1. Fritzbox 7270 - internet przez kablówkę - stały adres IP. sieć lokalna 192.168.41.0/24 plik cfg dla fritza 1 Kod: text Rozwiń Zaznacz wszystko Kopiuj do schowkavpncfg {         connections {                 enabled = yes;                 conn_type = conntype_lan;                 name = neo.dyndns.org;                 always_renew = no;                 reject_not_encrypted = no;                 dont_filter_netbios = yes;                 localip = 0.0.0.0;                 local_virtualip = 0.0.0.0;                 remoteip = 0.0.0.0;                 remote_virtualip = 0.0.0.0;                 remotehostname = neo.dyndns.org;                 localid {                         ipaddr = 85.xxx.5.132;                 }                 remoteid {                         fqdn = neo.dyndns.org;                 }                 mode = phase1_mode_aggressive;                 phase1ss = all/all/all;                 keytype = connkeytype_pre_shared;                 key = **********;                 cert_do_server_auth = no;                 use_nat_t = no;                 use_xauth = no;                 use_cfgmode = no;                 phase2localid {                         ipnet {                                 ipaddr = 192.168.41.0;                                 mask = 255.255.255.0;                         }                 }                 phase2remoteid {                         ipnet {                                 ipaddr = 192.168.43.0;                                 mask = 255.255.255.0;                         }                 }                 phase2ss = esp-all-all/ah-none/comp-all/pfs;                 accesslist = permit ip any 192.168.43.0 255.255.255.0;         }         ike_forward_rules = udp 0.0.0.0:500 0.0.0.0:500,                              udp 0.0.0.0:4500 0.0.0.0:4500; } // EOF 2. Fritzbox 7390 - neostrada VDSL2 - zmienne IP - loguje się do dyndns.org sieć lokalna 192.168.43.0/24 plik cfg dla fritza 2 Kod: text Rozwiń Zaznacz wszystko Kopiuj do schowkavpncfg {         connections {                 enabled = yes;                 conn_type = conntype_lan;                 name = 85.xxx.5.132;                 always_renew = no;                 reject_not_encrypted = no;                 dont_filter_netbios = yes;                 localip = 0.0.0.0;                 local_virtualip = 0.0.0.0;                 remoteip = 85.xxx.6.132;                 remote_virtualip = 0.0.0.0;                 localid {                         fqdn = vito007.dyndns.org;                 }                 remoteid {                         ipaddr = 85.xxx.5.132;                 }                 mode = phase1_mode_aggressive;                 phase1ss = all/all/all;                 keytype = connkeytype_pre_shared;                 key = ***********);                 cert_do_server_auth = no;                 use_nat_t = no;                 use_xauth = no;                 use_cfgmode = no;                 phase2localid {                         ipnet {                                 ipaddr = 192.168.43.0;                                 mask = 255.255.255.0;                         }                 }                 phase2remoteid {                         ipnet {                                 ipaddr = 192.168.41.0;                                 mask = 255.255.255.0;                         }                 }                 phase2ss = esp-all-all/ah-none/comp-all/pfs;                 accesslist = permit ip any 192.168.41.0 255.255.255.0;         }         ike_forward_rules = udp 0.0.0.0:500 0.0.0.0:500,                              udp 0.0.0.0:4500 0.0.0.0:4500; } // EOF no i VPN nadal nie działa.

VPN pomiędzy Fritz!Box'em 7270 , a RGW VDSL2 G (DGT 7466-VDSL2 G)

How can I get an IPsec VPN working between a Fritz!Box 7270 and a DGT RGW VDSL2 G when DynDNS is involved?

Post #1

Post #2

Post #3

Post #4

Post #5

Post #6

Post #7

Post #8

Post #9

Post #10

Post #11

Post #12

Post #13

Post #14

Post #15

Post #16

Post #17

Post #18

Post #19

Post #20

Post #21

Post #22

Post #23

Post #24

Post #25

Post #26

Post #27

Post #28

Post #29

Post #30

Podsumowanie tematu