VPN-Tunnel zwischen DrayTek Vigor3300 und der AVM Fritzbox

Mit einem Site-to-Site VPN lassen sich die lokalen Netze zweier Standorte verbinden. Für eine einfache Umsetzung dürfen sich die IP-Netze der Standorte nicht überschneiden. Das Tutorial beschreibt ein Site-to-Site VPN mit IPSec und den Routern DrayTek Vigor3300V und AVM Fritzbox.

VPN auf der AVM Fritzbox einrichten

Das AVM-Tool FRITZ!Fernzugang einrichten ist momentan noch recht beschränkt in der Auswahl der IPSec-Parameter. So wird beispielsweise nur der Aggressive Mode unterstützt. Daher muss die Konfig-Datei für die Fritzbox manuell erstellt werden:

vpncfg {
		connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Virgor3300";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 10.0.0.1;
                remote_virtualip = 0.0.0.0;
                localid {
                        ipaddr = 10.0.0.1;
                }
                remoteid {
                        ipaddr = 10.0.0.1;
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "geheim";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.179.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 172.16.0.0;
                                mask = 255.255.0.0;
                        }
                }
                phase2ss = "esp-all-all/ah-all/comp-all/pfs";
                accesslist = "permit ip any 172.16.0.0 255.255.0.0",
                             "permit icmp any 172.16.0.0 255.255.0.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF

Im Beispiel hat der Vigor3300 die WAN-IP 10.0.0.1. Das Statement remoteip = 10.0.0.1; muss also (mit der echten WAN-IP oder dem DynDNS-Namen) angepasst werden. Die Fritzbox hat die LAN-IP 192.168.179.1 im Netz 192.168.179.0. Hinter dem DrayTek liegt das LAN 172.16.0.0.

Die Zeile mode = phase1_mode_idp; stellt die Fritzbox auf Main Mode ein. Die Konfiguration muss über Einstellungen >> Internet >> Freigaben >> VPN >> VPN-Einstellungen importieren in die Fritzbox importiert werden.

VPN am Vigor3300 konfigurieren

Am Vigor3300 erfolgt die Konfiguration über das Webinterface des Routers.

Legen Sie unter VPN >> IPSec >> Richtlinentabelle eine neue IPSec-Verbindung an.

Im Vigor müssen der Pre-Shared Key PSK (geheim) aus der Fritzbox, das Security Gateway (WAN-IP oder DynDNS-Name der Fritzbox) und das LAN-IP-Netz der Fritzbox eingetragen werden. Im Reiter "Advanced" sind einige Einstellungen erforderlich.

Die Proposals für IKE Phase 1 (Main Mode) und Phase 2 (Quick Mode) müssen angepasst werden. Der Vigor3300V kennt hierbei
Verschlüsselungs-Algorithmus - NULL, DES, 3DES oder AES
Authentifizierungs-Algorithmus - MD5/SHA1
DH Gruppe - MODP768, MODP1024 und MODP1536

Dead Peer Detection sollte am Vigor deaktiviert werden. Nun sollte sich der IPSec-Tunnel aktivieren lassen. Am Vigor kann man sich unter VPN >> IPSec >> Log die Log-Einträge ansehen.

Weiterführende Informationen

Bei Fragen wird Ihnen im Netzwerkforum geholfen.

• VPN Know How
• VPN Fehlersuche