ComputerBase Menü
Aktuelles

Fritz! 7490 FritzOS 6.60 VPN zu Juniper SSG140 - welche IKE-Phasen funktionieren?

L

LordB

Commodore
Registriert
Apr. 2012
Beiträge
4.441
Hallo,

weiß jemand welche IKE-Phasen zwischen einer Fritz!Box 7490 und einer Juniper SSG-140-SB zuverlässig funktionieren?

Die Verbindung läuft nicht dynmamisch, beide Seiten haben eine feste IP.
Die Fritz! allerdings die übliche Zwangstrennnung.

Problem aktuell: die FB meldet

IKE-Error 0x2026 "no proposal chosen"

und braucht mehrere Stunden, bis der VPN Tunnel endlich zur Verfügung steht. (Die Anzeige ist grün, aber es können Stundenlang keine Daten übertragen werden)

Wenn der Tunnel dann endlich steht läuft es meist ganz gut, aber es gibt immer mal wieder zwischendurch Abbrüche und die genannte Fehlermeldung.

Angeblich unterstützt die FB laut einingen Internet Seiten


  • dh5/aes/sha
  • dh14/aes/sha
  • dh15/aes/sha
  • def/all/all
  • alt/all/all
  • all/all/all
  • LT8h/all/all/all



Für Phase 1

und


  • esp-3des-sha/ah-no/comp-no/pfs
  • esp-3des-sha/ah-no/comp-no/no-pfs
  • esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs
  • esp-aes-sha/ah-all/comp-lzjh-no/pfs
  • esp-all-all/ah-all/comp-all/pfs
  • esp-all-all/ah-all/comp-all/no-pfs
  • esp-all-all/ah-none/comp-all/pfs
  • esp-all-all/ah-none/comp-all/no-pfs
  • LT8h/esp-all-all/ah-none/comp-all/pfs
  • LT8h/esp-all-all/ah-none/comp-all/no-pfs


für Phase 2.

Voreingestellt vorgefunden habe ich auf der SSG:

Phase 1: pre-g2-3des-sha

Phase 2: nopfs-esp-3des-sha


In der Fritz wiederum:

phase1ss = "alt/all/all";

phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs";


Ist es richtig bei festen IPs lieber den Mode MAIN statt AGRESSIVE zu nutzen?


Vielleicht hat ja jemand da weitergehende Infos?
Das bisher im Netz gefundene hilft mir aktuell nicht weiter.

Danke fürs Lesen und ggf. Antworten im Voraus.
 
Hi

Wenn du noch etwas Zeit hast, schaue ich mal heute Nachmittag in meine Fritzbox rein.
Die Meldung IKE-Error 0x2026 "no proposal chosen" besagt eindeutig, dass die Juniper Verschlüsselungsverfahren anbietet, die die Fritzbox nicht kann. Auf jeden Fall sollte bei Phase1 der Main Mode genommen werden. Der Aggressive Mode überträgt irgendwas im Klartext wenn ich mich recht erinnere.

Welche Methoden kann die Juniper?

Anhand der Daten würde ich folgende Parameter fest einstellen, wenn beide Kisten das untersützen.

Phase 1

dh15/aes/sha

Phase 2

esp-aes-sha/ah-all/comp-lzjh-no/pfs

Wobei ich hier nicht weiß, ob es aes 128 oder aes192 ist. sha dürfte hierbei sha1 sein.


EDIT: Hast du das hier gesehen?
https://blog.webernetz.net/2015/03/11/fritzos-ab-06-23-ipsec-p2-proposals-erweitert/
 
Zuletzt bearbeitet:
Vielen Dank für Deine Antwort, G5 wäre natürlich vorzuziehen, lief aber ums verrecken nicht.

Die Fritz ist extrem pingelich. Die einizig zuverlässig laufende Paarung war jetzt:

Auf der FB: Phase1 alt/aes/sha Phase2 esp-3des-sha/ah-no/comp-no/no-pfs

Auf der SSG Phase1 prs-g2-aes256-sha Phase2 nopfs-esp-3des-sha

Wichtig: im Fritz config ist "always_renew" auf yes zu setzen, sowie mode = phase1_mode_idp und auf der SSG Mode main zu setzen. Sonst wird es ebenfalls nichts.

Jetzt klappt es immer auf anhieb.

Hier mal das Fritz Config als Vorlage, falls jemand das Gleiche Problem hat:

Code: 
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Ein_Aussagekräftiger_Name";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = xxx.xxx.xxx.xxx;
                remote_virtualip = 0.0.0.0;
                localid {
                        ipaddr = yyy.yyy.yyy.yyy;
                }
                remoteid {
                        ipaddr = xxx.xxx.xxx.xxx;
                }
                mode = phase1_mode_idp;
                phase1ss = "alt/aes/sha";
                keytype = connkeytype_pre_shared;
                key = "HIER_KOMMT_DAS_PSK_PASSWORT_HIN";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = bbb.bbb.bbb.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = aaa.aaa.aaa.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs";
                accesslist = "permit ip any aaa.aaa.aaa.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Wobei xxx = Juniper öff. IP
yyy = FB öff IP
aaa = Juniper trust IP-Segment
bbb = FB trust IP-Segment
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

D
VPN zwischen Asus und Fritzbox
Antworten
13
Aufrufe
533
riversource
R
mgutt
FritzBox IKE-Error 0x2027 bei Verbindung mit Firmen VPN
2
Antworten
20
Aufrufe
14.914
Raijin
Raijin
S
VPN bricht immer nach exakt einer Stunde ab
Antworten
15
Aufrufe
15.287
Stefanabg
S
Hoerli
Site2Site-VPN mit FritzBox 7490 und CheckPoint
Antworten
4
Aufrufe
6.769
kugman
K
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz