ipsec

Net2Net IPSec VPN mit IPFire und FritzBox

Veröffentlicht 10. Januar 2012 | Von admin

Achtung: Diese Konfiguration lief bei mir nicht stabil. Besser ist es OpenVPN zu verwenden.

Ausgangslage:

  • 2 Standorte, auf beiden Seiten eine feste IP
  • Standort A mit einer FritzBox: Netz 192.168.10.0/255.255.255.0, Externe IP vom ISP: 1.1.1.1
  • Standort B mit IPFire: Netz 192.168.20.0/255.255.255.0, Externe IP vom ISP: 2.2.2.2
  • IPFire, getestet mit IPFire 2.9 – core50 
  • FritzBox 6360, Firmware-Version 85.05.07
  • Verbindung als IPSec Net2Net

Schritt 1

  • FRITZ!Box-Fernzugang einrichten Version 01.00.07 herunterladen
  • http://webgw.avm.de/download/Download.jsp?partid=14654
  • Programm starten und Neu drücken
  • „Verbindung zwischen zwei FRITZ!Box-Netzwerken einrichten“
  • Externe IP von Standort A eintragen, in diesem Beispiel 1.1.1.1
  • internes Netzwerk eintragen, 192.168.10.0/255.255.255.0
  • Externe IP von Standort B eintragen, 2.2.2.2
  • internes Netzwerk des Standort B, 192.168.20.0/255.255.255.0
  • „Die beiden Verzeichnisse anzeigen, die die beiden Konfigurationsdateien enthalten“

Wir brauchen jetzt nur die „fritzbox_1_1_1_1.cfg“ Datei, also kann das andere Fenster geschlossen werden.

Schritt 2

  • die fritzbox_1_1_1_1.cfg Datei öffnen und den PSK unter „key = “ kopieren (ohne Anführungszeichen)
  • auf die FritzBox verbinden
  • Internet –> Freigaben –> VPN
  • „Durchsuchen“ und die fritzbox_1_1_1_1.cfg auswählen

Schritt 3

  • IPFire –> Dienste
  • „Öffentliche IP oder FQDN für das rote Interface oder:“ 2.2.2.2
  • „Aktiviert“ Haken setzen und Speichern
  • unter „Verbindungsstatus und -kontrolle:“ Button Hinzufügen
  • „Netz-zu-Netz Virtual Private Network“
  • Name: frei wählbar
  • Host-IP Adresse: RED
  • Lokales Subnetz: 192.168.20.0/255.255.255.0
  • Remote Host/IP:1.1.1.1
  • Remote Subnetz: 192.168.10.0/255.255.255.0
  • „Verwenden Sie einen Pre-Shared Schlüssel:“ den vorher kopierten PSK aus der .cfg einfügen
  • „Speichern“ Button
  • unter „Verbindungsstatus und -kontrolle:“ Bearbeiten (Stift-Symbol) –> Erweitert –> Haken setzen bei „IKE+ESP: Verwenden Sie nur die vorgeschlagenen Einstellungen.“

Das VPN sollte nun aufgebaut werden.

Mögliche Probleme können in den Log-Dateien eingesehen werden:

  • IPFire: /var/log/messages
  • FritzBox: System –> Ereignisse –> Internetverbindung

Schritt 4

Das VPN zur Fritzbox hat Probleme mit DPD (Dead Peer Detection).  Wählt man „restart“ wird ca. jede 2-3 Minuten das VPN von Seiten des IPFire neu aufgebaut, weil angeblich ein Down-Status erkannt wurde. Die Option „clear“ und „hold“ beenden das VPN und verbinden es nicht neu.

Lösung:

  • SSH auf IPFire verbinden
  • vi /etc/ipsec.conf
  • im Konfigurationsabschnitt „conn NAME“ die 3 Einträge dpddelay=30, dpdtimeout=120, dpdaction=clear entfernen
  • in den Eigenschaften auf dem IPFire dieser VPN-Verbindung sollte nicht wieder gespeichert werden, ansonsten werden diese Einstellungen erneut gesetzt und müssten manuell entfernt werden
  • das Webinterface vom IPFire besitzt leider nicht die Option DPD zu deaktivieren

 

Veröffentlicht unter Allgemein | Verschlagwortet mit , , , , | Ein Kommentar