Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
Forum
Shop
FAQ
Know How
Testberichte
Hardware-DB
Events
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Partner
Unser Partner für
SSL Zertifikate
ist Checkdomain GmbH.
Tutorials

VPN-Tunnel zwischen DrayTek Vigor3300 und der AVM Fritzbox

Mit einem Site-to-Site VPN lassen sich die lokalen Netze zweier Standorte verbinden. Für eine einfache Umsetzung dürfen sich die IP-Netze der Standorte nicht überschneiden. Das Tutorial beschreibt ein Site-to-Site VPN mit IPSec und den Routern DrayTek Vigor3300V und AVM Fritzbox.

VPN auf der AVM Fritzbox einrichten

Das AVM-Tool FRITZ!Fernzugang einrichten ist momentan noch recht beschränkt in der Auswahl der IPSec-Parameter. So wird beispielsweise nur der Aggressive Mode unterstützt. Daher muss die Konfig-Datei für die Fritzbox manuell erstellt werden:


vpncfg {
		connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Virgor3300";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 10.0.0.1;
                remote_virtualip = 0.0.0.0;
                localid {
                        ipaddr = 10.0.0.1;
                }
                remoteid {
                        ipaddr = 10.0.0.1;
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "geheim";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.179.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 172.16.0.0;
                                mask = 255.255.0.0;
                        }
                }
                phase2ss = "esp-all-all/ah-all/comp-all/pfs";
                accesslist = "permit ip any 172.16.0.0 255.255.0.0",
                             "permit icmp any 172.16.0.0 255.255.0.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF

Im Beispiel hat der Vigor3300 die WAN-IP 10.0.0.1. Das Statement remoteip = 10.0.0.1; muss also (mit der echten WAN-IP oder dem DynDNS-Namen) angepasst werden. Die Fritzbox hat die LAN-IP 192.168.179.1 im Netz 192.168.179.0. Hinter dem DrayTek liegt das LAN 172.16.0.0.

VPN-Verbindung in der Fritz!Box

Die Zeile mode = phase1_mode_idp; stellt die Fritzbox auf Main Mode ein. Die Konfiguration muss über Einstellungen >> Internet >> Freigaben >> VPN >> VPN-Einstellungen importieren in die Fritzbox importiert werden.

VPN am Vigor3300 konfigurieren

Am Vigor3300 erfolgt die Konfiguration über das Webinterface des Routers.

DrayTek Vigor3300V

Legen Sie unter VPN >> IPSec >> Richtlinentabelle eine neue IPSec-Verbindung an.

DrayTek Vigor3300V VPN Profil

Im Vigor müssen der Pre-Shared Key PSK (geheim) aus der Fritzbox, das Security Gateway (WAN-IP oder DynDNS-Name der Fritzbox) und das LAN-IP-Netz der Fritzbox eingetragen werden. Im Reiter "Advanced" sind einige Einstellungen erforderlich.

erweiterte Einstellungen

Die Proposals für IKE Phase 1 (Main Mode) und Phase 2 (Quick Mode) müssen angepasst werden. Der Vigor3300V kennt hierbei
Verschlüsselungs-Algorithmus - NULL, DES, 3DES oder AES
Authentifizierungs-Algorithmus - MD5/SHA1
DH Gruppe - MODP768, MODP1024 und MODP1536

Dead Peer Detection sollte am Vigor deaktiviert werden. Nun sollte sich der IPSec-Tunnel aktivieren lassen. Am Vigor kann man sich unter VPN >> IPSec >> Log die Log-Einträge ansehen.

Weiterführende Informationen

Bei Fragen wird Ihnen im Netzwerkforum geholfen.

 

 
© 2004-2015, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012